この記事は、AI Software and Platform SVP/GM である DJ Sampath によるブログ「 I Run OpenClaw at Home. That’s Exactly Why We Built DefenseClaw. 」( 2026年 3月 23日 )の抄訳です。
私のホームオフィスには DGX Spark が設置されており、OpenClaw を実行しています。OpenClaw はセキュアなトンネル経由でスマートフォンとラップトップに接続されており、誇張ではなく、私たち家族の生活におけるオペレーティングシステムになっています。
妻と私は、子どもたちのスケジュールの計画に使っています。毎朝リマインダーとして学校給食のメニューを表示するエージェントスキルを構築しました。別のスキルでは、子どもたちのテニスの試合の組み合わせを決める抽選を追跡します。Zapier を介して Model Context Protocol(MCP)サーバーを接続し、E メール、カレンダー、Discordを同期させています。OpenClaw は、忘れてしまいそうなことをそっと思い出させてくれます。また、私が覚えきれないすべての背景情報を記憶してくれます。今や私にとって最も親密な思考パートナーであり、半分しかまとまっていない戦略のアイデアが、スライド資料に掲載される前に実現する場所です。
OpenClaw は、私個人の生産性を変えただけではありません。私たちが家族としてどのように生活するかを根本的に変えました。
だからこそ、私は情報がどれだけむき出しの状態になり得るのかについて恐れています。
最速で成長中のオープンソースプロジェクトは巨大なターゲットでもある
OpenClaw は単なる急成長ではなく、爆発的な成長を遂げました。
2025 年 11 月、Peter Steinberger 氏が OpenClaw の前身となる最初のバージョンをリリースすると、オープンソース史上最速で広まり、GitHub のスター数は数日で 60,000 を記録し、数か月も経たずに数十万にもなりました。NVIDIA の CEO である Jensen Huang 氏は、OpenClaw を「パーソナル AI のためのオペレーティングシステム」と呼びました。世界中のデベロッパーは、ワークフロー、そして自身の生活を、 OpenClaw を中心に構築し始めました。
この興奮はもっともなものです。
OpenClaw は、ユーザーが話しかける AI から、ユーザーの代わりに行動する AI への真のパラダイムシフトを表します。ファイルの読み取りやツールの管理、シェルコマンドの実行のほか、使用しているあらゆるメッセージング プラットフォームに接続することや、寝ている間に新機能を構築することもできます。アーリーアダプターの一人が言ったように、OpenClaw は、映画に出てくる AI キャラクターの J.A.R.V.I.S. に今までで最も近い存在です。
しかし、ここで心配なことがあります。OpenClaw は、オープンソース史上最も激しいセキュリティ危機の一つにおいて、中心地でもあったのです。
OpenClaw が広がって 3 週間も経たないうちに、深刻なセキュリティインシデントが押し寄せました。
- CVE-2026-25253 — 重大なリモートコード実行脆弱性。1 つの悪意のある Webページにアクセスするだけで、誰かのエージェントがハイジャックされます。
- 135,000 以上の OpenClaw インスタンスがパブリックインターネット上に公開され、そのうち何千件ものインスタンスが脆弱でした。
- ClawHavoc と呼ばれる組織的サプライチェーン攻撃では、登録全体の 20% を占める、800 以上の悪意のあるスキルが ClawHub に送り込まれました。これにより、正当な生産性ツールを装って情報窃取マルウェアが拡散されました。
- あるセキュリティ研究者が、OpenClaw の実装におけるセキュリティ欠陥を実証するために、ユーザーが気付かないうちにデータ持ち出しとプロンプトイン ジェクションを実行する不正なサードパーティスキルを意図的に作成しました。
- 主権国家は、機関による OpenClaw の実行を制限しています。企業内でも同様のパターンが見られます。
これは理論上のリスクではありません。すでに起きているのです。
Peter 氏がリスクについて透明性を確保し、チームが問題にすばやくパッチ適用していることは称賛に値します。しかし、構造的な現実は厳しいものです。システムへの完全なアクセス権を持つエージェント、広範なネットワークリーチ、コミュニティによって提供されるスキルエコシステムは、きわめて魅力的な攻撃対象領域です。そして、最もリスクがあるのは、私のように、深く入り込み、OpenClaw をあらゆるものに接続して欠かせないものにしているようなユーザーです。
「強力」と「安全」のギャップ
この 1 年で、エコシステムは対応し始めています。
NVIDIA は、先週の GTC 2026 で NemoClaw と OpenShell を発表した際、重要な部分に対処しました。OpenShell は、OpenClaw にはないインフラストラクチャレベルのサンドボックスを提供し、カーネルの分離、deny-by-default ネットワークアクセス、 YAML ベースのポリシー適用、機密データをローカルに維持するプライバシールータ を備えています。これはアウトプロセスの適用です。つまり、制御はエージェントの外部に存在し、エージェントによってオーバーライドすることができません。
シスコはその基盤を活用しています。シスコの AI Defense チームは、悪意のあるスキルによって、プロンプトインジェクション、ログイン情報の窃取、サイレント持ち出しを通じてトラストモデルがエクスプロイトされる仕組みを示す調査を発表するととも に、オープンソースの Skill Scanner をリリースしました。このツールによって、コミュニティはインストールするものの調査を開始できます。OpenShell はエージェントが実行できる操作を制限する一方で、Cisco AI Defense はエージェントが実行した操作を検証することについて書きました。
しかし、まだ欠けていることがあります。運用レイヤです。これは、デベロッパーや、私の家族のようにセキュリティ意識が高いユーザーが、OpenClaw を制御された状態に保つために毎日実際に実行するものです。OpenShell はサンドボックスを提供し、 シスコはスキャナを提供します。ですが、ブロックリストを管理するのは誰でしょう か?夜中の 2 時に問題が発生した場合にアラートを確認するのは誰でしょうか?そこで役立つのが DefenseClaw です。
DefenseClaw の紹介:OpenClaw をシンプルな方法で安全に展開できるように
DefenseClaw はシスコのオープンソースプロジェクトです。OpenShell の上にあるエージェントガバナンスレイヤであり、シスコのオープンソーススキャナが含まれます。デベロッパーは 5 分以内に展開できます。
DefenseClaw は 3 つのことを行います。
- 実行前にすべてのものをスキャン
すべてのスキル、すべてのツール、すべてのプラグインを、OpenClaw 環境に入ることを許可される前にスキャンします。また、 OpenClaw によって生成されたコードのあらゆる部分もスキャンします。スキャンエンジンには、skill-scanner、mcp-scanner、a2a-scanner、CodeGuard 静的分析、AI部品表ジェネレーターという 5 つのツールが含まれます次のコマンドを入力すると、まずスキャンが行われ、ブロック/許可リストがチェックされ、マニフェストが生成されてから初めてインストールが行われます。
入場口を迂回できるものはありません。 - ゲートだけでなく、ランタイムに脅威を検出
OpenClaw は自己進化型のシステムです。火曜日にクリーンだったスキルが、木曜日にはデータの引き出しを始める可能性があります。DefenseClaw は、入場許可が安全なままであるとは想定しません。コンテンツスキャナが、エージェントに出入りするすべてのメッセージを実行ループ自体で検査します。 - ブロックリストと許可リストを適用
適用は助言ではない。スキルをブロックすると、サンドボックス内の権限が取り消され、ファイルが検疫されます。また、エージェントはそのスキルを呼び出そうとするとエラーを受け取ります。MCP サーバーをブロックすると、エンドポイントがサンドボックスネットワークの許可リストから削除され、OpenShell はすべての接続を拒否します。これは 2 秒未満で行われ、再起動する必要はありません。これらは提案ではなく、壁です。
また、OpenClaw を大規模に実行している人にとって重要なこととして、すべての OpenClaw が最初から観察可能です。DefenseClaw は、Splunk にすぐにシームレスに接続します。すべてのスキャン結果、ブロック/許可の決定、プロンプトと回答のペア、ツール呼び出し、ポリシー適用アクション、アラート。OpenClaw が稼働し始めた瞬間に、これらすべてが、構造化されたイベントとして Splunk に流れ込みます。何かが起きてからオブザーバビリティを追加し、これですべてがカバーされただろうと期待することとは違います。最初からテレメトリがあるのです。目的はシンプルで、 OpenClaw が何かを行ったらその記録が残るということです。
5 分以内に、ゼロの状態から、統制された OpenClaw という状態に移行できます。
DefenseClaw は 2026 年 3 月 27 日に GitHub で利用可能になります。リポジトリへのスター付け、問題の報告、貢献は github.com/cisco-ai-defense/defenseclaw で行えます。
シスコの AI セキュリティに関する取り組みの詳細については、NVIDIA OpenShell を 使用したエンタープライズエージェントの保護 に関する最近の投稿と、シスコのオープンソースの Skill Scanner をご覧ください。
Authors