OpenClawの高権限による安全性の懸念に伴い、中国は安全な使用実践ガイドを発表しました

中国国家インターネット緊急対応センター（CNCERT）と中国サイバー空間安全協会は、3月22日に「OpenClaw安全利用実践ガイドライン」を共同で発表しました。これは、一般ユーザー、企業ユーザー、クラウドサービス事業者、技術開発者の4つの主要なグループに対し、段階的な安全防護の提言を行うものです。このガイドラインの発表は、中国で「龍蝦（ロングシャ）」と呼ばれるOpenClawが国民的な熱狂を巻き起こしている背景に直接応えるものであり、その運用時には非常に高いシステム権限が付与されることを示しています。

なぜOpenClawの高いシステム権限が監督機関の警戒を呼ぶのか

OpenClawはオープンソースのAIエージェントツールであり、その核心設計はAIシステムが複数のステップを自律的に完了できるようにすることにあります。具体的には、ローカルファイルの操作、ネットワークリクエストの発行、アプリケーション間の調整などです。この構造は、実行時に従来のソフトウェアをはるかに超えるシステム権限を必要とし、もし悪意のある利用やセキュリティ脆弱性が存在すれば、攻撃者はユーザーのデバイスを完全に制御したり、敏感なデータを盗み出したり、企業内ネットワークに横展開したりする可能性があります。

このガイドラインの発表は、中国当局がAIの商業化を促進しつつも、AIエージェントツールに対する安全の底線を正式に確立したことを示しています。

一般ユーザーへの4つの安全推奨事項

CNCERTによる一般ユーザー向けの主要な安全提言

• 環境の隔離インストール：OpenClawは専用のデバイス、仮想マシン、またはコンテナを用いてインストールし、環境を分離してください。日常の業務用PCにインストールするのは避けるべきです。

• 実行権限の制限：管理者権限やスーパーユーザー（root）権限でOpenClawを動かさないこと。これにより、潜在的な悪意の操作によるシステム最高権限の取得を防ぎます。

• プライバシーデータの取り扱い禁止：OpenClawの環境内で個人のプライバシーデータを保存・処理しないこと。AIエージェントのタスク実行中に敏感情報が漏洩するリスクを避けるためです。

• 最新バージョンへの更新：OpenClawを常に最新の状態に保ち、既知のセキュリティ脆弱性を修正したバージョンを使用してください。

企業ユーザーとクラウドサービス事業者への強化要求

一般ユーザーに比べて、公式ガイドラインは企業に対してより厳格な制度的要件を提示しています。企業はOpenClawの内部利用規範と承認フローを確立し、新たなAIエージェントアプリケーションや高権限機能を導入する際には、安全性評価と経営層の承認を経てから運用を開始すべきです。

技術的な防護面では、OpenClawを稼働させるサーバーに対してホスト侵入防御システムを有効にし、重要な操作や安全に関わるイベントについて改ざん防止の監査ログを生成し、操作記録の追跡性を確保します。さらに、定期的な人員の安全教育や緊急対応訓練を実施し、組織全体の対応能力を向上させる必要があります。

クラウドサービス事業者に対しては、クラウドホストの基礎的なセキュリティ評価と強化を徹底し、堅牢なセキュリティ防護能力を展開し、サプライチェーンやデータの安全保護を重点的に強化し、第三者依存によるセキュリティリスクの導入を防止します。

よくある質問

CNCERTがこのガイドラインを発表した主な理由は何ですか？

OpenClawは運用時に高度なシステムアクセス権限を必要とし、ファイル操作やネットワーク通信、アプリ間の調整を自律的に行います。これにより、潜在的なセキュリティ脆弱性の影響は従来のソフトウェアよりもはるかに深刻です。中国でOpenClawの普及が急速に進む中、監督機関はユーザーデータの漏洩やシステムの安全性リスクを防ぐことを最優先課題としています。

一般ユーザーはなぜ日常の業務用PCにOpenClawをインストールすべきではないのですか？

日常の業務用PCは企業内ネットワークに接続され、多くの敏感なファイルを保存しています。環境を分離せずにOpenClawをインストールすると、もしエージェントにセキュリティ問題が発生した場合、業務データや企業システムの認証情報、個人のプライバシー情報が漏洩するリスクが高まります。専用のデバイスや仮想マシンを使用すれば、潜在的な被害範囲を効果的に限定できます。

この安全ガイドラインの発表は、中国がOpenClawの使用を全面的に制限することを意味しますか？

現時点では、このガイドラインは安全のための提言であり、強制的な禁止措置ではありません。目的は、使用を制限するのではなく、防護の枠組みを提供することにあります。中国政府は一方で地方政府の補助金を通じてAIの商業利用を奨励しつつ、企業やユーザーに対して安全規範の遵守を求めており、両者の政策は引き続き並行して推進されています。