2025年末、オープンソースの自律型 AI エージェント Clawdbot(後に Moltbot へ改称)は、急速な導入拡大と強力なローカル実行機能により、開発者およびセキュリティコミュニティ全体で急速に注目を集めました。Moltbot はセルフホスティング型の AI アシスタントとして設計されており、大規模言語モデルを実際のシステム、アプリケーション、認証情報と連携させ、ユーザーの代わりにタスクを自律的に実行できるようにします。
Moltbot 自体はマルウェアではありませんが、安全でない形で展開された場合、アーキテクチャの特性上、攻撃対象領域が大きく拡大する可能性があります。特に、インターネットに露出した制御インターフェース、脆弱な認証方式、機密性の高い認証情報の平文保存は、セキュリティ研究者の懸念を招いてきました。実際に複数の事例で、誤った設定の Moltbot インスタンスが外部に公開された状態で発見され、内部データや実行権限、サードパーティサービスの認証情報が露出していたことが確認されています。
アーキテクチャ概要と露出リスク
プロジェクト名:Clawdbot/Moltbot
カテゴリ:セルフホスティング型の自律 AI エージェント
導入形態:ローカルマシンまたはクラウド VM
主な機能:
- コマンド実行
- アプリケーションおよび API 連携
- 認証情報に基づく作業自動化
Moltbot は、大規模言語モデルと実運用環境を接続するエージェント型ブリッジとして設計されています。従来の単純なチャットインターフェースとは異なり、シェルコマンドの実行、ファイルアクセス、API 操作、さらにメッセージングプラットフォーム、メールシステム、生産性ツールなど外部サービス全般のワークフローを直接実行できるように構成されています。
セキュリティ観点で最も重要なのは、Moltbot がローカルシステムやサードパーティサービスに対して高い権限で動作するケースが多い点です。管理インターフェースやメッセージングゲートウェイが、強固な認証やネットワーク制御なしにインターネットへ露出している場合、攻撃者はソフトウェア脆弱性を悪用する必要すらありません。単に到達可能であること自体が攻撃ベクトルとなり得るためです。
この特性により、侵害モデルは「脆弱性ベースの攻撃」から「露出ベースの攻撃」へと移行します。つまり、単なる設定ミスだけで悪用可能な状態になり得るということです。
攻撃シナリオ
Clawdbot / Moltbot の不正アクセス想定シナリオ
現実的な攻撃シナリオでは、攻撃者はまずインターネット全体をスキャンし、外部に露出した Moltbot インスタンスを特定することから始めます。この際、プロジェクト特有のレスポンスパターン、サービスバナー、Web ベースの制御パネルなどを手がかりとして利用します。
露出したインスタンスを確認した後、攻撃者はエージェントのインターフェースと直接やり取りを試みます。認証が存在しない、または不十分に実装されている場合、攻撃者はエージェントに対してコマンドやプロンプトをそのまま送信できる可能性があります。Moltbot は自律動作を前提として設計されているため、このようなアクセスが成立すると、次のような結果につながる恐れがあります。
- 任意のシステムコマンド実行
- ローカルに保存されたファイルおよび設定データへのアクセス
- エージェントが利用する API キー、トークン、認証情報の露出
- 連携しているサードパーティサービスへの不正アクセスおよび操作
クラウド環境に展開されている場合、この不正アクセスはクラウドプロバイダの認証情報、内部運用ツール、CI/CD パイプラインにまで波及する可能性があり、被害範囲は急速に拡大します。単なる実験用途の AI アシスタントの露出が、組織全体のインフラ侵害につながり得るという点が重要です。
Criminal IP で観測されたインターネット露出 Moltbot 資産
実環境における露出状況を評価するため、Moltbot の Web およびメッセージングインターフェースの特性を反映したサービス識別クエリを用いて、外部からアクセス可能な Moltbot インスタンスを分析しました。
Criminal IP 検索クエリ: title: “Clawdbot”
分析の結果、複数の Moltbot インスタンスがパブリックインターネット経由でアクセス可能な状態であることが確認されました。これらのインスタンスは、ネットワークレベルのアクセス制御がないまま Web ベースのインターフェースやエージェント制御エンドポイントを露出しており、一部のケースでは単なる静的ページではなく、実際のエージェント機能が有効化された応答が観測されました。
公開露出した Moltbot インスタンスの例
観測されたある事例では、Clawdbot(Moltbot)の制御インスタンスをホスティングする外部到達可能な IP アドレスが、同一の露出サービスポート上で複数のセキュリティリスクを同時に示していました。当該サービスは HTTPS 上で HTTP 200 を返しており、認証プロセスなしで識別可能な Clawdbot のインターフェース要素へアクセスできる状態でした。
さらに、同一の外部露出サービスエンドポイントにおいて、CVE-2023-44487(HTTP/2 Rapid Reset)の影響も確認されました。これは Clawdbot 自体に起因する脆弱性ではないものの、高権限の制御インターフェースが外部に露出している状況で、既知のサービス拒否脆弱性が併存することで複合的な露出シナリオを形成します。このような環境では複数の弱点が重なり、不正アクセスが発生した場合の潜在的被害が大きく増幅される可能性があります。
セキュリティ対応策
従来型の脆弱性とは異なり、Moltbot の露出問題は単一のパッチ適用やバージョン更新だけで解決できるものではありません。リスクの低減は、導入・運用プロセスにおけるセキュリティ管理水準と統制体制に大きく依存します。
推奨される対応策は以下のとおりです。
- Moltbot の制御インターフェースをインターネットに露出させない
- すべてのインターフェースに強固な認証とアクセス制御を適用
- エージェントの実行権限を、必要最小限のレベルに制限
- API キーやシークレットを安全に保管し、平文の設定ファイル利用を避ける
- Moltbot は VPN またはプライベートネットワーク環境でのみ運用する
- アクセスログおよびエージェントの活動を継続的にモニタリングする
Moltbot は自律的に動作できる設計であるため、不正アクセスが発生した場合、攻撃者が送信した命令が即座に実行される可能性があります。そのため、ネットワーク隔離とアクセス制御は選択肢ではなく、必須要件として扱う必要があります。
FAQ
Q1. Clawdbot/Moltbot は脆弱性やマルウェアですか?
いいえ。Moltbot は合法的なオープンソースの AI エージェントプロジェクトです。ただし、コマンド実行や機密リソースへのアクセス機能を備えているため、安全でない形で展開された場合には深刻なセキュリティリスクを引き起こす可能性があります。
Q2. Moltbot が高リスクな露出として扱われる理由は何ですか?
Moltbot は高い権限で動作するケースが多く、認証情報、ファイル、外部サービスへ直接アクセスします。外部に露出している場合、攻撃者は特定のソフトウェア脆弱性を悪用しなくても、単に到達可能であるだけで侵害につながる可能性があります。
Q3. Moltbot のような AI エージェントにも攻撃対象領域管理(ASM)は必要ですか?
はい。ASM は、本来は外部公開を想定していない AI エージェント、実験用ツール、内部サービスなどの意図しない露出を特定するうえで非常に重要です。
結論
Clawdbot/Moltbot の事例は、自律型 AI エージェントの普及とともに新たに浮上したセキュリティリスクのカテゴリを示しています。こうしたシステムが実環境で実行や意思決定を担えるようになるにつれ、「露出そのもの」が脆弱性と同等、あるいはそれ以上に危険な要素になりつつあります。自律型 AI システムを試験的に利用する場合でも運用する場合でも、組織や個人はそれを単なる開発ツールとしてではなく、実運用インフラと同等の対象として捉える必要があります。外部に露出した資産を特定し、厳格なアクセス制御を適用し、自律実行がもたらし得る現実的な影響を理解することが、意図しない侵害を防ぐための重要な要素となります。
脅威インテリジェンスの観点から見ると、Moltbot は外部露出サービスの可視化とアーキテクチャ理解を組み合わせることで、従来とは異なる形の攻撃対象領域を早期に特定できる可能性を示す事例でもあります。
なお、関連して世界に公開された Redis・phpMyAdmin・Dev などの主要デジタル資産:グローバル OSINT 分析の記事も参考にしてください。
Criminal IP(criminalip.io/ja/register) に登録すると、すぐに脆弱資産の検知を開始できます。さらに、下記ボタンからデモをご依頼いただくことで、エンタープライズ環境において外部に露出した資産を対象としたCriminal IP の脅威インテリジェンス(TI)分析を直接ご確認いただけます。
本レポートは、サイバー脅威インテリジェンス検索エンジン Criminal IP のデータを基に作成されています。
今すぐCriminal IP の無料アカウントを作成すれば、本レポートで引用された検索結果を直接確認したり、さらに膨大な脅威インテリジェンスを自由に検索することができます。
データソース : Criminal IP (https://www.criminalip.io/ja)