OpenClawの導入数が増えるほど、攻撃者にとっての標的も増えています。2026年4月時点でCVEは33件超、GitHubセキュリティアドバイザリ(GHSA)は288件以上が報告されました。ClawHubマーケットプレイスでは1,184件の悪意あるSkillが仕込まれた「ClawHavoc」キャンペーンも発覚しています。ゲートウェイの露出、認証情報の漏洩、メモリ汚染、サプライチェーン攻撃——問題は多岐にわたりますが、これらをまとめてスキャンできるツールはほとんど存在しませんでした。

NSFOCUSが発表したAI-Scanは、この空白を埋めるOpenClawエコシステム専用のセキュリティスキャナーです。

この記事でわかること

  • OpenClawエコシステムで何が起きているか
  • AI-Scanが検出する4つのリスク領域
  • LLMを使った誤検知低減の仕組み
  • 既存のセキュリティツールとの違い

https://nsfocusglobal.com/coming-soon-ai-scan-openclaw-ecosystem-security-scanning-capabilities/

OpenClawを取り巻くセキュリティリスク

OpenClawはオープンソースのAIエージェント基盤として急成長し、GitHubスター数は36万を超えました。しかし成長の裏でセキュリティ問題も深刻化しています。

代表的なリスクは4つあります。第一に、ゲートウェイがインターネットに露出したまま運用されているケース。第二に、APIキーやトークンが設定ファイルに平文で保存される認証情報の管理不備。第三に、プロンプトインジェクションやBase64エンコード、ゼロ幅文字を使ったメモリ汚染攻撃。第四に、ClawHubマーケットプレイス経由で悪意あるSkillが配布されるサプライチェーン攻撃です。

2026年第1四半期だけで、Snykが824件の悪意あるSkillを特定しました。CVE-2026-42428(プラグインアーカイブの整合性検証欠如)、CVE-2026-42423(承認タイムアウトのバイパス)など、深刻な脆弱性が次々と報告されています。

AI-Scanの4つの検出領域

AI-Scanは、IPアドレスまたはアドレス範囲を入力するだけで動作します。ログインベースのスキャンにより、OpenClawのポートを自動検出し、サービスフィンガープリントの識別とバージョンの特定を行います。

検出対象は以下の4領域です。

ゲートウェイ露出

OpenClawのゲートウェイがインターネットに公開されていないかをチェックします。ポートスキャンとサービス識別を組み合わせ、意図しない外部公開を検出します。

認証情報の保存状態

設定ファイルや環境変数にAPIキー・トークンが平文で保存されていないかを検査します。OpenClawの設定構造を理解した上でスキャンするため、一般的なシークレットスキャナーより検出精度が高いとされています。

メモリ汚染

プロンプトインジェクションの検出に特化した機能です。Base64エンコード、Unicodeゼロ幅文字、HTMLコメントへの隠蔽、ホモグラフ置換など、高度な難読化手法にも対応します。通常のテキストマッチでは見逃す攻撃パターンを捕捉できる点が特徴です。

サプライチェーン

576件以上の既知の悪意あるSkillをブラックリストとして保持し、照合します。加えてメタデータ分析により、偽装された名前、不審なパブリッシャー、過剰な権限要求を検出します。ClawHubからインストールしたSkillが安全かどうかを事後的に確認する用途にも使えます。

LLMによる誤検知の低減

AI-Scanの特徴的な機能が、LLMセマンティック強化です。従来のルールエンジンだけでは、正当なプロンプトを攻撃と誤検知するケースが避けられません。AI-Scanはルールエンジンで一次スクリーニングを行った後、LLMによる二次分析を実行します。文脈を理解した上で判定するため、誤検知率を大幅に下げつつ、未知の攻撃パターンにも対応できます。

この二段構えのアプローチは、セキュリティスキャナーとしては珍しい設計です。スキャン速度を維持しながら検出精度を高めるバランスを取っています。

既存ツールとの違い

OpenClawのセキュリティ対策ツールは他にも存在します。Red HatのTank OSはコンテナ分離によるOpenClawの安全実行環境を提供し、OpenClaw公式もVirusTotalとの連携でSkillのマルウェアスキャンを進めています。

AI-Scanの立ち位置はこれらとは異なります。Tank OSが「防御壁を作る」アプローチなのに対し、AI-Scanは「すでに動いている環境のリスクを可視化する」ツールです。導入済みのOpenClawインスタンスに対して外部からスキャンをかけ、問題を洗い出す用途に向いています。

また、GitHub上のopenclaw-security-scanのようなOSSスキャナーはOpenClawの設定ファイルを静的にチェックしますが、AI-Scanはネットワーク越しのアクティブスキャンとLLM分析を組み合わせている点で検出範囲が広くなっています。

導入時の注意点

AI-ScanはNSFOCUSのLLMセキュリティ評価システムの一機能として提供される予定です。スタンドアロンのOSSツールではないため、導入にはNSFOCUS製品の利用が前提となります。

OpenClawを本番環境で運用しているチームは、まずゲートウェイの公開状態とSkillの出所を手動で確認することが最優先です。AI-Scanのようなツールの正式リリースを待つ間にも、OpenClaw公式のセキュリティドキュメント(参考)に沿った基本設定の見直しは今すぐ実行できます。