OpenClawにセキュリティ警告 CNCERT/CCが「プロンプト注入」などリスク指摘 - NewsTomo

中国本土のインターネット緊急対応機関が、利用が急増しているアプリケーション「OpenClaw」をめぐり、設定や使い方次第で情報漏えいや乗っ取りにつながり得るとして注意喚起しました。

中国本土CNCERT/CCがセキュリティアドバイザリを発出（2026年3月10日）

中国本土の国家コンピュータネットワーク緊急対応技術チーム／調整センター（CNCERT/CC）は2026年3月10日（火）、OpenClawに関するセキュリティアドバイザリを公表しました。不適切なインストールや運用により、すでに深刻な懸念が複数確認されているとしています。

指摘された主なリスク：4つの「入り口」

1）「プロンプト注入」：見えない指示で情報を引き出す

アドバイザリが強調した脅威の一つが「プロンプト注入」です。攻撃者がWebページ内に隠した悪意のある指示（命令文）を埋め込み、OpenClawがそのページを読み取る状況に誘導されると、システムキーなどの機微情報が漏えいする恐れがあると説明しています。

2）「誤操作」：意図の取り違えで重要データを削除する可能性

OpenClawがユーザーの指示や意図を誤解し、メールや中核の生産情報など、重要データを誤って削除してしまう「誤操作」リスクも挙げられました。便利さの裏側で、権限設定や操作手順が不十分だと被害が拡大し得る、という位置づけです。

3）悪性プラグイン（「スキル」）：鍵の窃取やバックドア、ボットネット化

OpenClaw向けに提供されるプラグイン（当局は「スキル」とも表現）について、悪性またはリスクが高いものが確認されたとしています。インストールされると、システムキーの窃取、トロイの木馬型バックドアの設置、その他の不正活動に使われ、端末がボットネットの一部となる可能性もあると警告しました。

4）既知の中〜高リスク脆弱性：悪用で乗っ取りや漏えい

OpenClawにはすでに複数の中〜高リスクの脆弱性が開示されているとされます。攻撃者に悪用された場合、システムの掌握（乗っ取り）や、個人情報・機微情報の漏えいに至る恐れがあるとしています。

被害の想定：個人から重要分野まで

CNCERT/CCは、影響が個人利用にとどまらず、重要分野にも及び得る点を具体的に示しました。

個人ユーザー：写真、文書、チャット記録、決済アカウント情報、APIキーなどの個人データが窃取される可能性
重要分野（金融・エネルギーなど）：中核業務データ、営業秘密、コードリポジトリの露出、さらには運用システム全体の停止・障害につながる可能性

推奨された対策：設定と運用の“基本”を積み上げる

アドバイザリでは、組織・個人に向けて、導入時の注意点が複数示されています。ポイントは「外部にさらさない」「権限を絞る」「鍵を守る」「変更を追えるようにする」です。

ネットワークとアクセス制御

デフォルトの管理ポートを公衆インターネットに直接公開しない
本人認証（ID認証）とアクセス制御を実装する
コンテナなどで実行環境を分離し、過剰なシステム権限を抑える

認証情報（キー）の管理と監査

キーを平文の環境変数に保存することを避ける
操作ログを包括的に記録・監査できる仕組みを整える

プラグイン（拡張機能）の扱い

入手元を厳格に管理し、信頼できる検証済みチャネルからのみ導入する
自動アップデートを無効化するなど、意図しない変更を抑える

パッチ適用の継続

セキュリティパッチや更新情報を継続的に監視し、速やかに適用する

MIITの共有プラットフォームも「デフォルト設定に注意」

中国本土の工業情報化部（MIIT）のサイバー脅威・脆弱性情報共有プラットフォームも最近、OpenClawについて注意喚起を出したとされています。デフォルト設定、または不適切な構成のまま運用すると、権限制御の不足や設定不備により、サイバー攻撃やデータ漏えいにさらされやすいという指摘です。

いま何が問われているのか

OpenClawのような「エージェント」型の仕組みは、Web閲覧、拡張機能、外部サービス連携など、便利さのために接点が増えやすい一方、その接点がそのまま攻撃面（アタックサーフェス）にもなり得ます。今回の助言は、機能の是非というよりも、導入時の設計（露出・権限・鍵・監査）をどこまで丁寧に詰められるかに視線を戻す内容と言えそうです。