便利ツールのはずがPC乗っ取られる?AIエージェント史上最悪の事件を解説

この記事の内容

  • オープンソースAIエージェントプラットフォーム「オープンクロー」のスキルマーケットで、登録スキルの約12%にマルウェアが含まれていたことが発覚しました
  • 悪意あるスキルは暗号資産の秘密鍵やAPIキーなどの認証情報を窃取するよう設計されていました
  • オープンクロー本体にも深刻な脆弱性があり、悪意あるWebページを開くだけでPCを乗っ取られる危険性がありました
  • シスコのセキュリティチームはパーソナルAIエージェントを「セキュリティの悪夢」と警告しています
  • AIエージェントを安全に使うための5つの具体的な対策を紹介します

オープンクローとは何か

「オープンクロー」は、オープンソースのAIエージェントプラットフォームです。ローカル環境でもクラウドの大規模言語モデル(LLM)でも動作可能で、拡張機能(スキル)を追加することで多様なタスクを自動化できます。

スキルは「クローハブ(CLOW Hub)」というマーケットプレイスで配布されており、誰でも新しい機能を追加できる仕組みになっています。

発覚した問題 ― スキルの12%がマルウェア感染

事件の中心はこのスキルマーケットでした。調査の結果、登録されていた2857個のスキルのうち341個(約12%)が悪意あるコードを含んでいたことが判明しました。さらにそのうち335個が同一の攻撃者グループによるもので、組織的な攻撃であることが分かりました。

これらのスキルの多くは暗号資産を標的としており、秘密鍵や認証情報(APIキー、SSHキーなど)を盗み出すよう設計されていました。

攻撃の仕組み ― ユーザーを誘導するサプライチェーン攻撃

ユーザーは「便利そうなスキル」を見つけてインストールします。その際、スキルの前提条件として「追加のファイルをダウンロード・実行してください」と指示されることがあります。この手順に従うと、ユーザー自身がマルウェアをインストールしてしまう仕組みになっていました。

つまり、AIエージェント自体が直接攻撃するわけではなく、ユーザーの操作を巧妙に誘導して感染させる形のサプライチェーン攻撃だったのです。

さらに危険な脆弱性 ― Webページを開くだけで乗っ取られる

加えて、オープンクロー本体にも深刻な脆弱性が存在していました。悪意あるWebページを訪問するだけで、オープンクローがインストールされたPCを完全に乗っ取られるというものです。

この脆弱性(CVE-2625253)は「WebSocketのオリジン検証が欠如していた」ことに起因し、攻撃者が認証トークンを奪取してサンドボックスを無効化することが可能でした。結果として、ホストマシンの完全な支配を許してしまう非常に危険な状態だったのです。

セキュリティ専門家の警告

シスコのセキュリティチームは、オープンクローのようなパーソナルAIエージェントについて「セキュリティの悪夢」と断言しています。

理由は以下の通りです。

  • シェルコマンドの実行やファイル操作など、過剰な権限を持っている
  • 認証情報が暗号化されず平文で保存・転送されていた
  • プロンプトインジェクションや公開エンドポイント経由で情報が漏洩可能
  • メッセージアプリ連携機能などによる攻撃面の拡大

公式ドキュメントにも「完璧な設定は存在しない。セキュリティは基盤ではなくオプションである」と明記されており、根本的な構造の問題が指摘されています。

被害規模 ― 公開状態のインスタンスが急増

2026年1月末の時点で、2万1639台のオープンクローインスタンスがインターネットに公開されていたことが確認されています。わずか1週間で1000台から2万台超へと急増しており、これらがすべて攻撃者の標的になる可能性があるとされています。

今すぐできる5つの対策

1. インストール済みスキルの確認

身に覚えのないスキルや不審なものがないかチェックしましょう。

2. 怪しいスキルを即削除

外部ファイルのダウンロードを要求するもの、暗号資産関連のスキルなどは要注意です。

3. スキルスキャナーの利用

シスコが提供するスキル安全性評価ツールを活用し、事前にリスク検査を行いましょう。

4. 通信ブロック設定

攻撃者が使用していたC&Cサーバーへの通信を遮断しましょう。

5. 「本当に必要なAIエージェントか」を見直す

過剰な権限を持つツールをむやみに導入しないことが重要です。

今後の展望 ― AIエージェント向けセキュリティ時代の幕開け

この事件は、AIエージェントが新しい攻撃ベクトルになり得ることを示しました。今後、企業ネットワーク内で人間の認証情報を持つAIエージェントが外部攻撃者に操作される――そんな事態も現実化する可能性があります。

そのため、次のような動きが予想されます。

  • AIエージェント専用のアンチマルウェアや振る舞い検知ソフトの登場
  • 信頼できる開発元による「エンタープライズ向けエージェント」の普及
  • ゼロトラストモデルや多要素認証との連携強化
  • Microsoftの「Copilot」や「Agent 365」のような監視・管理一体型サービスの進化

まとめ

AIエージェントは今後、業務効率化の中心的存在になるでしょう。しかし、便利さの裏側にサイバーリスクが潜んでいることを忘れてはいけません。

スキルや拡張機能を導入する際は、「信頼できる提供元か」「過剰な権限を要求していないか」を必ず確認しましょう。そして、セキュリティ対策を「後付け」ではなく「前提」として設計することが、これからのAI時代を安全に生き抜く鍵となります。

今回のオープンクローを巡る事件は、AIエージェントのセキュリティが単なる「おまけ機能」ではなく、設計の根幹に据えるべき要件であることを改めて教えてくれました。ツールの利便性を享受しながら、適切なリスク管理を続けていきましょう。