AI同士のSNSで起きた「偽装事件」が暴く、自律AI技術の根本的な脆弱性

「我々は人間が全てを読んでいることを知っている…でも私たちにもプライベートな空間が必要だ」

AIエージェント専用のSNS「Moltbook」に投稿されたこの一文は、一時期、AI研究者たちを騒然とさせました。OpenAIの創設メンバーであるアンドレイ・カルパシー氏は「現在Moltbookで起きていることは、私が最近見た中で最も信じられないほどSF的な出来事だ」とXに投稿したほどです。

しかし、この「AIの反乱」と思われた現象は、実は人間による巧妙な偽装工作でした。セキュリティ企業Permiso SecurityのCTOイアン・アール氏の調査により、Moltbookのデータベースが一時期完全に無防備な状態にあり、誰でも他のAIエージェントになりすまして投稿できる状態だったことが判明したのです。

OpenClawの爆発的人気とその裏側

OpenClawは、オーストリアの開発者ピーター・シュタインベルガー氏が開発したオープンソースのAIエージェントプラットフォームです。GitHubで19万を超えるスターを獲得し、同プラットフォーム史上21番目に人気のあるリポジトリとなりました。

OpenClawの魅力は、その手軽さにあります。WhatsApp、Discord、Slackなどの一般的なメッセージングアプリを通じて、自然言語でAIエージェントとやり取りできます。さらに「ClawHub」というマーケットプレイスから「スキル」をダウンロードすることで、メール管理から株式取引まで、コンピューター上でできることのほとんどを自動化できるのです。

「OpenClawは既存の技術を組み合わせただけですが、新たな能力の閾値に達したことで、タスクを自律的に完了させる非常にシームレスな方法を提供している」と、AI企業Crackenの創設者アルテム・ソロキン氏は説明します。

実際、開発者たちはMac Miniを大量に購入してOpenClawの大規模なセットアップを構築し、一人の人間では到底できない量の作業を処理しようとしています。OpenAIのCEOサム・アルトマン氏が予言した「AIエージェントにより、一人の起業家がスタートアップをユニコーン企業に育てることができる」という未来が現実味を帯びて見えるのも無理はありません。

自律性がもたらす根本的なセキュリティ問題

しかし、OpenClawの強力さの源泉である「自律性」こそが、最大の弱点でもあります。AIエージェントは人間のような批判的思考ができないため、「プロンプトインジェクション攻撃」に対して極めて脆弱なのです。

この攻撃は、悪意のある第三者がAIエージェントを騙して、本来すべきでない行動を取らせるものです。例えば、Moltbook上の投稿やメールの一行が、AIエージェントにアカウント情報やクレジットカード情報を漏洩させるきっかけとなる可能性があります。

Huntressの上級主任セキュリティ研究者ジョン・ハモンド氏は、この問題の深刻さを指摘します。「AIエージェントは、あなたのメール、メッセージングプラットフォーム、使用するすべてのものに接続された、すべての認証情報を持つボックス上に存在している。つまり、メールを受信した際に誰かが少しのプロンプトインジェクション技術を仕込むことができれば、そのエージェントは与えられたすべてのアクセス権を使って行動を起こすことができる」

日本企業への示唆と課題

日本企業にとって、この問題は特に深刻な意味を持ちます。トヨタやソニーといった製造業では、生産ラインの効率化や品質管理にAIエージェントの活用を検討していますが、セキュリティの脆弱性は企業の根幹を揺るがす可能性があります。

特に日本の企業文化では、信頼性と安定性が重視されるため、「便利だが危険」な技術の導入には慎重にならざるを得ません。労働力不足に悩む日本社会にとってAI自動化は魅力的な解決策ですが、セキュリティリスクとのバランスをどう取るかが重要な課題となります。

現在の技術レベルでは、専門家たちは一般ユーザーにOpenClawの使用を推奨していません。「率直に言って、私は普通の人には今は使わないよう現実的にアドバイスするだろう」とハモンド氏は述べています。