中国がOpenClawを政府機関・銀行で使用禁止｜4万超のインスタンスに脆弱性、国家レベルのAIエージェント規制が始動

AIニュース

中国政府がOpenClawの使用を禁止──何が起きたのか

中国政府が、AIエージェントフレームワーク「OpenClaw」のオフィス端末へのインストールを政府機関・国有企業・銀行に対して禁止した。Bloombergが2026年3月11日に報じたもので、国家レベルでAIエージェントの利用を制限する動きとしては世界初の大規模な事例となる。

きっかけは中国CERT（国家コンピュータネットワーク緊急対応技術チーム／CNCERT）が3月10日に公開したセキュリティ警告だ。The Registerの報道によると、CERTはOpenClawが「極めて脆弱なデフォルトセキュリティ設定」を持つと指摘し、攻撃者がWebページに悪意ある命令を埋め込んでエージェントを操作できること、プラグインを通じてマルウェアを注入できることを具体的に警告した。

禁止の範囲──政府機関から軍人家族まで

禁止通達の範囲は広い。政府機関と国有企業の職員はオフィスPCへのOpenClawインストールが全面禁止されたほか、社内ネットワークに接続する個人スマートフォンへのインストールも禁じられた。すでにOpenClaw関連アプリをインストールしていた職員は上司への報告、セキュリティチェックの実施、必要に応じた削除を求められている。

Bloombergの報道によると、一部の通達では軍人の家族にも制限が拡大された。ただし、すべての通達が「全面禁止」というわけではなく、使用前に事前承認を求める形にとどまるケースもある。対応には機関ごとのばらつきがあるが、方向性としては明確に「制限強化」だ。

OpenClawとは何か──なぜ「危険」と判断されたのか

OpenClawはPeter Steinberger氏が開発したオープンソースのAIエージェントフレームワークだ。WhatsApp、Telegram、Slackなど20以上のメッセージングプラットフォームに接続し、ユーザーの指示に基づいてメール処理、ファイル操作、Web閲覧、レポート作成、航空券予約などのタスクを自律的に実行できる。2026年1月末にバイラル的に人気が爆発し、中国全土で急速に普及した。

問題は、OpenClawが従来のチャットボットとは根本的に異なるレベルのシステムアクセスを必要とする点にある。ファイルシステムへの読み書き、APIキーやOAuthトークンの保持、外部サーバーとの通信など、エージェントとして機能するためには広範な権限が不可欠だ。中国CERTはこの構造そのものがセキュリティリスクであると断じた。

4万超のインスタンスが公開状態──脆弱性の実態

SecurityScorecardの調査によると、公開インターネット上に40,214件のOpenClawインスタンスが確認されている。うち23,505件がアクティブなコントロールパネルを露出し、12,812件がリモートコード実行（RCE）攻撃に対して脆弱な状態にある。全体の60%以上が即時乗っ取り可能と推定されている。

最も深刻な脆弱性はCVE-2026-25253（CVSS 8.8）で、攻撃者が作成した悪意あるリンクをクリックするだけで認証トークンが窃取され、AIエージェントの完全な制御権を奪われる。エージェントが保持するAPIキー、OAuthトークン、SSHキー、ブラウザプロファイル、パスワードマネージャーのデータベースまで、すべてが攻撃者の手に渡る可能性がある。

中国政府の多層的な対応──CERT以外の動き

今回の規制は単独の通達ではなく、複数の政府機関が連携した多層的な対応だ。

工業情報化部（MIIT）：脆弱性データベースにセキュリティガイドライン公開

工業情報化部傘下の国家脆弱性データベース（NVDB）がOpenClawに関するセキュリティガイドラインを公開した。コンテナによる隔離、管理ポートのインターネット非公開化、厳格な認証・アクセス制御の実施を推奨している。

中国人民銀行：金融セクター向けのAI警告

中国人民銀行（PBOC）は金融セクターにおけるAI利用について別途警告を発出。中国インターネット金融協会もOpenClawアプリケーションのセキュリティに関するリスク警告を出している。銀行業務におけるAIエージェントの利用が、データ漏洩やシステム障害のリスクを高めるとの認識だ。

中国情報通信研究院（CAICT）：信頼性基準の策定

中国情報通信研究院（CAICT）は、OpenClawをはじめとするAIエージェントの信頼性基準の試験運用を2026年3月下旬に開始すると発表した。事後的な禁止だけでなく、事前の基準策定によってAIエージェントの安全な利用を制度化しようとする動きだ。

なぜ中国で急速に普及したのか──爆発的な採用の背景

OpenClawは2026年1月末にオープンソースプロジェクト「Moltbook」の人気をきっかけにバイラル的に拡散した。中国ではテック企業だけでなく、地方政府や一般消費者にまで利用が広がり、「AIエージェント熱狂」とも言える状態になっていた。

オープンソースであること、ローカル実行が可能であること、100以上のプリセットスキルで即座に業務に使えることが急速な普及を後押しした。しかし、多くのユーザーがセキュリティ設定をデフォルトのまま運用し、管理ポートをインターネットに公開した状態で放置していた。CERTの警告はこの「普及速度とセキュリティ意識のギャップ」に対する危機感の表れだ。

世界への波及──AIエージェント規制の先例になるか

今回の中国の動きは、AIエージェント固有のリスクに国家レベルで対応した初の大規模事例として国際的に注目されている。従来のAI規制はコンテンツ生成やディープフェイクを対象としたものが主流だったが、AIエージェントは「システムアクセス権限」という全く異なる次元のリスクを持つ。

OpenClawに限らず、AIエージェントはファイル操作、API呼び出し、コード実行、外部通信など広範な権限を必要とする。この構造的リスクは他のAIエージェントフレームワークにも共通するものであり、中国の規制が他国のAIエージェント政策に影響を与える可能性は高い。

Aitly編集部の見解

中国のOpenClaw禁止措置は、AIエージェント時代のセキュリティ課題を象徴する出来事だ。従来のチャットボットは「テキストを生成するだけ」だったが、AIエージェントは「実際にシステムを操作する」。ファイルを読み書きし、APIを叩き、外部と通信する。その権限の広さが、そのまま攻撃面の広さになる。

中国の対応は「過剰反応」とも「当然の措置」とも取れる。4万超の公開インスタンスのうち60%が即時乗っ取り可能という状況を考えれば、少なくとも政府機関や銀行での利用を制限する判断には合理性がある。ただし、OpenClawそのものが悪いわけではなく、デフォルト設定のまま運用するユーザーのセキュリティリテラシーの問題でもある。AIエージェントを業務に導入する際は、コンテナ隔離・ポート制限・認証強化といったインフラレベルの対策が不可欠だ。NVIDIAがGTC 2026でNemoClawを発表したタイミングとも重なるが、エージェントセキュリティの基盤整備は待ったなしの課題と言える。