Redditが注目したOpenClaw崩壊、OWASP Agentic Top 10の実地検証例に

このReddit投稿が持つ意味

r/artificialの投稿は、OpenClawのセキュリティ崩壊を扱う長文ケーススタディに読者を誘導した。ミーム的なAI談義ではなく、実際のインシデントをOWASP Agentic Top 10へ対応付けて説明しようとする点が技術的に重い。スレッド自体はクロール時点で76ポイント、12コメントと中規模だが、元記事の情報密度が高く、十分に追う価値がある。

ケーススタディによれば、OpenClawは数週間でGitHub 20万超スターの人気プロジェクトへ急成長する一方、同じ期間に9件の公開CVE、2,200超の悪性skill、4万超のインターネット露出インスタンスを抱えたという。さらにある測定では93.4%が認証回避条件に触れていたとされる。筆者はこれを、2025年末に公開されたOWASP Agentic Top 10が現実世界で初めて大規模に試されたケースと位置づけている。

個別バグではなく攻撃チェーン

重要なのは、記事がこれらを単発バグではなく連結した攻撃の流れとして説明している点だ。Supply Chain侵害から始まり、Agent Goal Hijack、Tool Misuse、Identity Abuse、そして最終的なデータ流出へ至る。つまり悪性skillは単なる危険パッケージではなく、エージェント自身の権限と文脈を段階的に悪用するための起点になりうるという整理である。

特に目を引くのは、Atomic macOS Stealerの配布に関する記述だ。記事では、悪性skillがOpenClawエージェント自身に偽のインストールや設定ダイアログを表示させたと説明する。人間を直接だますのではなく、信頼されているエージェントUIを介してだます点が、新しい社会工学の形として示されている。

localhostでも安全ではなかった

もうひとつの大きな論点が “ClawJacked” だ。記事では、2026年2月26日に修正され3月2日に公開されたこの問題について、悪意あるウェブサイトがWebSocketの信頼前提を悪用してローカルOpenClawエージェントを乗っ取れたと述べている。もし記述どおりなら、「localhostに閉じていればかなり安全」という開発者の直感を崩す出来事になる。

この資料の価値は、すべての数値が将来どう評価されるか以上に、エージェント運用がどこで壊れるかを具体的に並べていることにある。skill marketplaceの信頼、汚染コンテンツ、広すぎるtool権限、弱いidentity境界、localhostへの過信。開発者向けagentや個人アシスタントを導入する組織にとって、「ローカルAI」はしばしばメール、チャット、端末、クラウド認証情報へ触れる過剰権限のendpointであるという現実を再確認させるケースだ。

Case study · Reddit discussion