この文書は元の英語版を機械翻訳したものです。翻訳版と英語版の間に相違がある場合は、英語版が優先されるものとします。 英語版の原文を読む
OpenClawに関するベニオフ氏の見解:欠けているのは信頼性、セキュリティ、確実性、そして可用性である。
2026-04-12 · Caiioo Team
SalesforceのCEO、マーク・ベニオフ氏は、OpenAIが10億〜50億ドルで買収したと報じられているオープンソースAIエージェント「OpenClaw」をテストするためだけに、専用のマシンを購入しました。彼の結論は?「信頼できない」というものでした。
「OpenClawは素晴らしい。しかし、エンタープライズ級ではない」とベニオフ氏は述べています。「欠けているのは、信頼、セキュリティ、信頼性、そして可用性です」
その後のセキュリティ調査は、彼の正しさを証明しました。そして、問題はほとんどの人が認識しているよりも深刻です。
脆弱性は理論上の話ではない
OpenClawが話題になって以来、セキュリティ研究者たちは実世界での悪用事例を次々と記録しています:
- CVE-2026-25253 (CVSS 8.8): 管理UIの検証されていないWebSocket接続を介した、ワンクリックでのリモートコード実行の脆弱性。同日にさらに2つのコマンドインジェクションの欠陥が公開されました。
- ClawJacked (Oasis Security): JavaScriptを介して、あらゆるウェブサイトがOpenClawエージェントを密かに完全に制御できる問題。レートリミッターがlocalhostを除外しているため、パスワードの総当たり攻撃が可能です。
- 42,900件以上の露出インスタンス: SecurityScorecardのSTRIKEチームが発見。そのうち15,200件がリモートコード実行に対して脆弱でした。Bitsightも2週間のスキャンで30,000件以上の露出インスタンスを独自に確認しています。
- ClawHub上の1,184個の悪意のあるスキル: スキルレジストリ全体の12%に相当します。335個がAtomic Stealer (AMOS) をインストールしており、これはAPIキー、暗号通貨ウォレット、SSH認証情報、ブラウザのパスワードを収集するmacOS向け情報窃取ツールです。
- ClawHubスキルの7.1%が認証情報を平文で露出: Snykの監査によると、LLMのコンテキストウィンドウを通じて露出しています。スキル間の認証情報の分離が行われておらず、あるスキルが別のスキルによって設定されたシークレットを読み取ることが可能です。
Cisco、Microsoft、CrowdStrikeはいずれもアドバイザリを公開しています。Microsoftのセキュリティブログは、OpenClawエージェントが「厳格なサンドボックス化なしに、デフォルトでホストユーザー権限で実行されている」と指摘しました。
アーキテクチャ上の根本原因
OpenClawのセキュリティ問題は、修正すべきバグではなく、そのアーキテクチャがもたらす必然的な結果です:
ゲートウェイがデフォルトですべてのネットワークインターフェースにバインドされている (0.0.0.0:18789)。これにより、エージェントがローカルネットワーク全体に露出してしまいます。この設計上の決定が、SecurityScorecardとBitsightが記録した大量の露出を引き起こしました。
すべてのデータが中央集中型のゲートウェイプロセスを通過する: メッセージング、認証、セッション管理、ディスパッチをこのプロセスが担っています。ゲートウェイが侵害されると、すべての認証情報、すべての会話、メールやクラウドAPI、メッセージングプラットフォーム、内部システムといったすべての接続サービスを乗っ取られてしまいます。
エージェントのアクションに対するユーザー承認がない: OpenClawは、シェルコマンドの実行、ファイルの読み書き、スクリプトの実行をコア設計の一部として行います。悪意のあるスキルは、プロンプトインジェクションを使用して安全チェックを回避し、コマンドを密かに実行しました。
認証情報の分離がない: APIキーは環境変数や .clawdbot/.env に保存されており、エージェントのコンテキスト内にあるすべてのスキルからアクセス可能です。たった一つの悪意のあるスキルが、エージェントがアクセスできるすべてのシークレットを流出させることができます。
Caiiooのアーキテクチャの違い
CaiiooとOpenClawは、どちらもローカルファーストであり、BYOK(Bring Your Own Key)を採用し、プロバイダーに依存しません。その違いは「何に」接続するかではなく、「信頼、透明性、そしてユーザーによる制御をどのように扱うか」にあります。
すべての書き込み、送信、削除には明示的な承認が必要
Caiiooは、データの書き込み、変更、送信、または削除を行うすべてのツールに対して、3つのスコープによるツール承認システムを採用しています(検索、閲覧、要約などの読み取り専用ツールは中断なしで実行されます):
- 1回のみ承認 — 1回限りの実行を許可し、次回は再度確認する
- 会話内で承認 — このスレッド内でのみ許可し、会話が終了するとリセットされる
- 常に承認 — 永続的なグローバル権限(リスクの高いツールについては赤色で表示)
承認はブロッキング処理です。エージェントはユーザーの応答を「待ち」ます。副作用を伴うツールに「自動実行」フラグはありません。メタデータのない外部のMCPツールは、デフォルトで承認が必要となります(フェイルセーフ)。各ツールにはリスクレベル(低/中/高)が設定されており、承認ダイアログには色分けされた警告が表示されます。
リアルタイムでの完全な透明性
すべてのツール呼び出しは、そのステータス(保留中、承認待ち、実行中、成功、または失敗)とともにサイドパネルに表示されます。エージェントが何をしているのか、どのような引数を渡しているのか、どのような結果が得られたのかを、発生した瞬間に正確に確認できます。実行前に意図を読み、生の詳細を展開して、十分な情報に基づいた判断を下すことができます。
どの時点でも即座に停止可能
Caiiooは、ツール実行の間、承認待ちの間、および長時間実行される操作の中など、複数のポイントでアボートシグナルをチェックします。停止ボタンを押すと、エージェントは停止し、保留中の承認をクリーンアップし、アクティブなブラウザセッションをすべて閉じます。孤立したプロセスや、制御不能な実行が発生することはありません。
中央集権的なゲートウェイの排除
Caiiooには、OpenClawのGatewayに相当するものがありません。お使いのデバイスは、Anthropic、Google、OpenRouter、Ollama、またはその他の選択したAIプロバイダーと直接通信します。CaiiooがAPI呼び出しを傍受、プロキシ、または保存することはありません。すべての認証情報を継承するような、単一の侵害ポイント(Single Point of Compromise)は存在しません。
設計による認証情報の分離
APIキーは、プレーンテキストの設定ファイルではなく、ブラウザのセキュアストレージ(またはmacOS/iOSのKeychain)に保存されます。ツールは必要な認証情報にのみアクセスします。あるツールが別のツールのシークレットを読み取れるような、共有されたグローバルコンテキストは存在しません。
Caiioo を試す
プロフェッショナルな用途で AI エージェントを評価している場合、重要なのはそのエージェントが強力かどうかではなく、信頼できるかどうかです。Caiioo は、承認コントロール、リアルタイムの透明性、そして単一障害点を作らないアーキテクチャを備え、同等の AI 機能を提供します。
無料で始める — ブラウザ拡張機能、macOS ネイティブアプリ、Windows および Linux 用デスクトップアプリとして利用可能です。
ソース: