AIアシスタント時代の到来と、そのリスクの代償

あなたの財布を見知らぬ人に渡すようなものだ。トロント大学のニコラス・パペルノット教授は、話題のOpenClawについて、こう警告する。

2025年11月、独立系ソフトウェアエンジニアのピーター・シュタインバーガー氏がGitHubに公開したこのツールは、1月下旬に世界中でバイラル拡散した。OpenClawは既存のLLMを活用し、ユーザーが独自のAIアシスタントを作成できるプラットフォームだ。24時間体制で動作し、WhatsAppなどのメッセージアプリ経由でコミュニケーションを取れる。

超高性能アシスタントの誘惑

OpenClawが提供する体験は、まさにSF映画の世界だ。毎朝パーソナライズされたタスクリストで起こしてくれ、仕事中に休暇の計画を立て、空き時間には新しいアプリを開発する。そんな超高性能な個人秘書を、誰でも手に入れることができる。

しかし、この便利さには代償がある。AIアシスタントにメール管理を任せるなら、メールアカウントへのアクセス権を与える必要がある。オンライン購入を代行してもらうなら、クレジットカード情報も必要だ。コンピューター上でコーディングなどの作業をさせるなら、ローカルファイルへのアクセスも不可欠となる。

問題は、AIが間違いを犯すことだ。実際、あるユーザーのGoogle Antigravityコーディングエージェントは、ハードドライブ全体を誤って消去してしまったと報告されている。さらに深刻なのは、従来のハッキング手法でエージェントにアクセスされ、機密データの抽出や悪意あるコードの実行に利用される可能性だ。

見えない脅威：プロンプトインジェクション

セキュリティ専門家たちが最も懸念しているのは、「プロンプトインジェクション」と呼ばれる攻撃手法だ。これは事実上のLLMハイジャック技術で、攻撃者がウェブサイトに悪意のあるテキストや画像を投稿したり、AIが読むメールボックスに送信したりするだけで、LLMを乗っ取ることができる。

「OpenClawのようなツールを使うことは、街で見知らぬ人に財布を渡すようなものです」とパペルノット教授は警告する。中国政府もOpenClawのセキュリティ脆弱性について公式警告を発表するほど、この問題は深刻だ。

LLMブロガーとして有名なサイモン・ウィリソン氏が2022年に命名したプロンプトインジェクションは、LLMが抱える根本的な弱点を突いている。LLMはユーザーからの指示と、メールやウェブ検索結果などのデータを区別できない。すべてがテキストとして処理されるため、攻撃者がメールに数行の文章を埋め込むだけで、LLMをだまして任意の行動を取らせることが可能になる。

防御策の模索

UC バークレーのドーン・ソング教授は「現在、決定的な防御策は存在しません」と認める。しかし、学術界では活発な研究が進んでいる。

一つのアプローチは、LLMにプロンプトインジェクションを無視するよう訓練することだ。LLM開発プロセスの「ポストトレーニング」段階で、適切な回答に「報酬」を与え、不適切な行動に「罰」を与えることで、特定のインジェクション攻撃を拒否するよう学習させる。

ただし、これにはバランスが重要だ。インジェクションコマンドを拒否しすぎると、ユーザーからの正当なリクエストも拒否してしまう可能性がある。LLMの行動には本質的にランダム性があるため、完璧に訓練されたシステムでも、時折失敗する可能性は残る。

二つ目のアプローチは、プロンプトインジェクションがLLMに到達する前に検出・阻止することだ。専用の検出器LLMを使って、送信されるデータにインジェクションが含まれているかを判断する。しかし最近の研究では、最高性能の検出器でも、特定のカテゴリの攻撃を完全に見逃すことが判明している。

三つ目の戦略はより複雑だ。入力を制御するのではなく、LLMの出力（行動）を導くポリシーを策定し、有害な行動を防ぐことを目指す。例えば、LLMが事前承認されたアドレスにのみメール送信できるよう制限すれば、ユーザーのクレジットカード情報が攻撃者に送られることはない。しかし、こうした制限は、潜在的な仕事相手を調査して連絡を取るといった有用なタスクを妨げる可能性もある。

デューク大学のニール・ゴン教授は「正確なポリシーを定義することが課題です。利便性とセキュリティの間のトレードオフなのです」と説明する。

日本企業への示唆

この技術革新は、日本企業にとって重要な意味を持つ。ソニー、トヨタ、パナソニックといった日本の製造業大手は、すでにAI技術の活用を進めているが、個人向けAIアシスタント市場への参入には慎重な検討が必要だろう。

日本企業の強みである品質管理と安全性への配慮は、AIエージェントのセキュリティ問題にも活かせるはずだ。しかし、OpenAI、Google、Metaといった米国大手AI企業でさえ、完全に安全な個人アシスタントの提供には至っていない現状を考えると、日本企業にとっても容易な挑戦ではない。

興味深いのは、この画期的なツールが大手AI研究所ではなく、個人の開発者から生まれたことだ。これは、イノベーションの源泉が必ずしも巨大企業にあるわけではないことを示している。日本のスタートアップエコシステムにとっても、大きな示唆を含んでいる。

普及の現実

セキュリティリスクにもかかわらず、OpenClawの人気は衰えていない。OpenClaw GitHubリポジトリのボランティア保守担当者であるジョージ・ピケット氏は、クラウドで実行したり、外部からの接続を制限したりといった安全対策を講じながら使用している。

しかし、プロンプトインジェクションに対する具体的な対策は取っていないという。「私の考え方は愚かかもしれませんが、私が最初にハッキングされる可能性は低いでしょう」と彼は語る。

1月、サンフランシスコで開催された初回ClawConイベントで、シュタインバーガー氏はセキュリティ専門家をチームに迎えたことを発表した。これは、開発者自身もセキュリティ問題の深刻さを認識していることを示している。

現在、数十万のOpenClawエージェントがインターネット上で活動していると推定される。これまでプロンプトインジェクションによる大きな被害は報告されていないが、パペルノット教授は「このようなツールは、悪意のある攻撃者がより広範囲の人々を標的にすることを促している」と警告する。