2026年2月22日、セキュリティ研究者のチームがShodanとCensysを使ったスキャン結果を公開した。インターネットに直接露出しているOpenClawインスタンスの数は、4万を超えていた。
この数字自体は衝撃的だが、さらに深刻なのはその内訳だった。約12,000のインスタンスが認証なしでアクセス可能で、誰でもブラウザからOpenClawのWeb UIにアクセスし、AIエージェントに指示を出すことができた。約8,000のインスタンスがデフォルトの認証情報(admin/admin)で動作していた。約3,000のインスタンスが古いバージョンを使用しており、既知の脆弱性にパッチが当たっていなかった。
研究者のレポートは控えめなトーンで書かれていたが、結論は明確だった:「OpenClawのデフォルト設定はセキュリティを考慮しておらず、ユーザーの大多数はセキュリティ設定を変更していない。」
なぜ4万ものインスタンスが露出しているのか
この状況を理解するには、OpenClawの典型的なデプロイメントパターンを知る必要がある。
OpenClawは「セルフホスト」を推奨するプロジェクトだ。ユーザーは自分のサーバー(VPS、クラウドインスタンス、または自宅サーバー)にOpenClawをインストールし、Web UIを通じてアクセスする。WhatsApp、Discord、Telegramなどのチャットプラットフォームとの統合もサポートしているが、多くのユーザーはWeb UIも同時に有効にしている。
問題はデフォルト設定にある。OpenClawのデフォルトでは、Web UIは0.0.0.0(全てのネットワークインターフェース)のポート3000でリッスンする。つまり、サーバーに到達できるネットワーク上の誰もがWeb UIにアクセスできる。ファイアウォールが適切に設定されていなければ、インターネット全体からアクセス可能だ。
認証はデフォルトで無効か、デフォルトの認証情報が設定されている。セットアップガイドには「本番環境では認証を設定してください」と書かれているが、多くのユーザーは「まず動かしてみよう」のフェーズでこのステップをスキップし、そのまま放置する。
VPSプロバイダー(DigitalOcean、Linode、Vultrなど)のワンクリックデプロイテンプレートがこの問題を悪化させている。テンプレートはOpenClawを簡単にデプロイできるようにするが、セキュリティ設定の自動化は含まれていないことが多い。ユーザーはデプロイ直後にOpenClawが動作することを確認し、セキュリティ設定は「後で」と先送りにする。その「後で」は来ない。
露出のリスク
認証なしで露出しているOpenClawインスタンスのリスクは深刻だ。
まず、エージェントの悪用だ。攻撃者はOpenClawのAIエージェントに自由に指示を出せる。エージェントがインターネットアクセスを持っている場合、フィッシングメールの生成、スパムの送信、ソーシャルエンジニアリング攻撃のコンテンツ作成に悪用される可能性がある。ユーザーのAPIキーで実行されるため、コストもユーザー負担だ。
次に、データの漏洩だ。OpenClawは会話履歴をサーバー上に保存する。露出したインスタンスの会話履歴には、個人的な情報、仕事の内容、場合によっては認証情報や秘密の情報が含まれている可能性がある。
さらに、サーバー自体の侵害だ。OpenClawのRCE脆弱性(先月報告されたもの)が未パッチの場合、露出したインスタンスを通じてサーバー全体が侵害される。OpenClawはユーザー権限で実行されているため、サーバー上の他のサービスやデータにもアクセスできる可能性がある。
NanoClawのネットワークアーキテクチャ
NanoClawはこの種のリスクに対して構造的に免疫がある。理由はシンプルだ:NanoClawにはWeb UIがない。
NanoClawのユーザーインターフェースはWhatsAppだ。ユーザーはWhatsAppメッセージを送信し、NanoClawはWhatsApp経由でレスポンスを返す。NanoClawサーバーは受信ネットワーク接続をリッスンするHTTPサーバーを起動しない。Web UIもない。REST APIもない。管理パネルもない。
NanoClawのネットワーク通信は全て「アウトバウンド」だ。NanoClawはWhatsApp Web APIに接続し(これはWebSocket接続であり、NanoClawからWhatsAppサーバーへのアウトバウンド接続だ)、Anthropic APIに接続する(これもアウトバウンドHTTPS接続だ)。NanoClawが外部からの接続を受け入れるポートを開く必要はない。
これは攻撃面の観点で根本的な違いだ。Shodanがスキャンするのは、インターネット上でリッスンしているポートだ。NanoClawはリッスンするポートを持たないので、Shodanに発見されることがない。攻撃者がNanoClawインスタンスの存在を知ったとしても、ネットワーク経由でアクセスするエントリーポイントが存在しない。
デフォルトセキュリティの哲学
OpenClawの露出問題は、「セキュアなデフォルト」の重要性を示している。
OpenClawのデフォルトは「利便性優先」だ。0.0.0.0でリッスンし、認証はオプション、HTTPSは設定が必要。この設計哲学は開発者体験を優先している。セットアップが簡単で、すぐに動作確認できる。しかし、本番環境でのセキュリティはユーザーの責任に委ねられている。
NanoClawのデフォルトは「セキュリティ優先」だ。リッスンポートなし、Web UIなし、エージェントはコンテナ内で隔離。ユーザーがセキュリティ設定をスキップしても、NanoClawは安全な状態で動作する。セキュリティは「オプション」ではなく「デフォルト」だ。
この違いは、4万のOpenClawインスタンスが露出している一方で、NanoClawインスタンスはゼロ露出であるという結果に直結する。ユーザーの大多数はデフォルト設定で運用する。デフォルトが安全でなければ、ユーザーも安全ではない。
自己ホスティングのパラドックス
OpenClawの露出問題は、セルフホスティングの根本的なパラドックスを浮き彫りにしている。
セルフホスティングの価値提案は「データの制御」だ。クラウドサービスにデータを預ける代わりに、自分のサーバーでアプリケーションを実行し、データの完全な制御を維持する。プライバシーとセキュリティの向上が期待される。
しかし、セルフホスティングは「サーバー管理」のスキルと時間を要求する。ファイアウォール設定、TLS証明書の管理、アクセス制御、定期的なアップデート——これらのタスクはDevOpsエンジニアにとっては日常的だが、一般の開発者にとっては負担だ。そして、これらのタスクのいずれかを怠ると、セルフホスティングのセキュリティメリットは消失する。
4万の露出インスタンスは、この現実を数字で証明している。セルフホスティングを選んだユーザーの大多数は、サーバーセキュリティの専門家ではない。「自分のサーバーで実行する」ことが自動的に「安全」を意味するわけではない。設定ミスの可能性を考慮すると、クラウドサービスのほうが安全な場合すらある。
NanoClawのアプローチは、このパラドックスを回避する。NanoClawもセルフホスティング型だが、攻撃面を極限まで小さくすることで、設定ミスのリスクを最小化している。ポートを開かないので、ファイアウォール設定のミスが致命的にならない。Web UIがないので、認証設定の漏れが問題にならない。エージェントがコンテナ内で実行されるので、仮にエージェントが侵害されてもホストシステムは安全だ。
数字が語るもの
4万という数字は、AIエージェントセキュリティの現状を端的に表している。
AIエージェントのデプロイメントは爆発的に増加しているが、セキュリティのベストプラクティスはそれに追いついていない。多くのユーザーは「動作すること」を優先し、「安全に動作すること」を後回しにしている。その結果、何万ものインスタンスが認証なしでインターネットに露出し、攻撃者の標的になっている。
NanoClawは、この問題に対する一つの解答を示している。攻撃面のないアーキテクチャ。開くポートがなければ、Shodanに見つからない。Web UIがなければ、認証の設定漏れがない。コンテナ隔離があれば、侵害の影響範囲が限定される。
4万のインスタンスが露出している世界で、NanoClawの露出はゼロだ。これはNanoClawユーザーが優れたセキュリティ技術を持っているからではない。NanoClawのアーキテクチャが、ユーザーのスキルレベルに関係なく安全だからだ。