OpenClawエコシステムは今週最も期待された機能、v2026.6.1-beta.1Skill Workshopガバナンススキル作成フローを提供しましたが、セキュリティストーリーが会話を支配しました。研究者はサプライチェーン足がかりを完全なエージェント侵害にチェーンする**4つの脆弱性からなる「Claw Chain」**を開示し、OpenClawシークレットを標的とする初の確認されたインフォスティーラーマルウェアが実際に文書化され、シンガポールのサイバーセキュリティ機関が本番デプロイメントに注意を促す正式勧告を発行しました。

セルフホストAIエージェントを評価するITとセキュリティのリーダーにとって、今週は中心の緊張を明確に枠組みます。プラットフォームは急速に成熟していますが、セキュリティガバナンスモデルはそれに追いついていません。ここに完全なエグゼクティブブリーフィングがあります。

急いでいますか? 見出しのポイント:(1) Skill Workshopがガバナンスされたスキル作成をOpenClawにもたらし、エンタープライズ拡張性にとって重要な前進、(2)「Claw Chain」脆弱性開示はプラットフォームの野心と現在のセキュリティ姿勢のギャップを露出、(3)OpenClaw設定を標的とする初の実地インフォスティーラーはシークレットをディスクに保存する人すべての警鐘、(4)MicrosoftのClawPilotが3,000以上の社内ユーザーを持ち、深刻なエンタープライズの関心を示す。デプロイを計画している場合は注視すべきポイントにスキップするかディスカバリーコールを予約してください。

Skill Workshop:オープンスキルモデル向けガバナンス

今週ランディングした最大の機能はSkill Workshopです。スキル構築と配布への以前のアドホックアプローチを置き換える、構造化されたエージェントガイド付きのスキル作成・レビューフローです。

v2026.6.1-beta.1(98以上のコミットのプレリリース)で、エージェントはバージョン管理されたフロントマター、承認/拒否/隔離アクション、ロールバック保護、提案リスト、今日ビュー、リビジョンダイアログ、ファイルプレビューを備える完全なControl UIダッシュボードを伴うガバナンスされたパイプラインを通じてスキルを提案するようになりました。スキルワークショップツール(skill_workshop)はCodexアプリサーバープロンプトと統合され、エージェントはいつ使用すべきかを知り、集中コアスキルインデックスが読み込み、ステータス、フィルタリング、プロンプトフォーマットを処理します。

エンタープライズチームにとってなぜ重要か。 オープンスキルモデルはOpenClawの最大の強みであり最大のリスクでした。Skill Workshopはその方程式の「審査」側に対処します。エージェントやユーザーがサードパーティスキルをインストールする前に運用者に構造化レビューフローを提供します。ただし、ランタイム分離や信頼スコアリングの問題は解決しません。NVIDIAのSkill Cards(インストール時の静的および意味スキル分析)が同じリリースサイクルで現れ、階層化されたセキュリティアプローチを示唆しました。本番デプロイメント向けにSkill Workshopは必要ですが十分ではありません。組織は依然としてアイデンティティ、サンドボックス、監査制御を上に重ねるべきです。プラットフォームが向かう方向のより広いビューは、State of OpenClaw 2026分析をご覧ください。

続きを読む:Skill Workshopドキュメント

「Claw Chain」 — 4つのチェーンされた脆弱性

Cyera研究者がこれまで文書化された中で最も危険なOpenClaw攻撃チェーンを共同で構成する4つのチェーン可能な脆弱性を開示しました。4つすべてはv2026.4.22+でパッチ済みですが、露出は驚異的です。Shodanは約65,000の公開アクセス可能なOpenClawインスタンスを特定し、ZoomEyeは約180,000を特定しました。

チェーンはこう働きます。OpenShell内の単一の足がかり(プロンプトインジェクション、悪意あるプラグイン、侵害された入力経由)が、3つすべてのサンドボックスレイヤー脆弱性の同時悪用を可能にします。ファイルシステム読み取りエスケープ経由のデータ持ち出し(CVE-2026-44113、CVSS 7.7)、MCPループバックヘッダーバイパス経由の権限昇格(CVE-2026-44118、CVSS 7.8)、TOCTOUファイルシステム書き込みエスケープ経由の永続化(CVE-2026-44112、CVSS 9.6 Critical)。別の実行許可リスト環境変数露出(CVE-2026-44115、CVSS 8.8)はクォートなしのヒアドキュメントを通じてAPIキーを漏洩する可能性があります。

なぜ重要か。 これは理論上の攻撃ではありません。チェーンは任意のコード実行を必要としません。すべてのOpenClawエージェントがデフォルトで使用するファイル操作とMCPプロトコルを通じて機能します。公開エンドポイントを持つ未パッチインスタンスを実行している組織は、これを即時パッチ警告として扱うべきです。

出典:Cyera ResearchTNWCloud Security Alliance

OpenClawシークレットを標的とする初の確認されたインフォスティーラー

Hudson RockがOpenClaw設定ファイルを特異に標的とする初の実地インフォスティーラー感染を文書化しました。Vidarインフォスティーラーバリアント(感染日:2026年2月13日)が持ち出したもの:

  • openclaw.json。ゲートウェイ認証トークン、メール、ワークスペースパス
  • device.json。デバイスペアリングと署名に使用される公開鍵と秘密鍵、メッセージ偽装を可能にする
  • soul.mdmemory/*.md。エージェント動作定義、日次アクティビティログ、プライベートメッセージ、カレンダーイベント

Hudson Rockは盗まれたデータが被害者のデジタルアイデンティティの完全な侵害に十分と結論しました。マルウェアはOpenClawを特異に標的としたわけではなく、「token」と「private key」キーワードを含むファイルをスイープしましたが、OpenClawユーザーへの影響は深刻です。

なぜ重要か。 OpenClawコミュニティがシークレットストレージを「ディスク上で十分」ともはや扱えない瞬間です。エージェントアイデンティティとメモリを支える同じファイルが今やアクティブな標的です。組織はOpenClawシークレットをボールト基盤ストレージ(Azure Key Vault、HashiCorp Vault、Windows Credential Manager)に移動し、device.jsonをSSH秘密鍵と同等と扱うべきです。暗号化なしでディスクに置くことはありません。

出典:BleepingComputerHudson Rock

シンガポールCSA勧告 — 本番リスクの正式警告

シンガポールのサイバーセキュリティ機関(CSA)Advisory AD-2026-005を発行し、体系的なOpenClawリスクを正式に文書化しました。未パッチの脆弱性、弱いアクセス制御、機密データ露出、悪意あるサードパーティスキル、メモリ汚染です。勧告は組織にゼロトラスト原則を適用し、オープンソース形式でのOpenClawをミッションクリティカルまたは高機密環境にデプロイしないことを推奨します。

これは2026年を通じて発行された中国、韓国、ベルギーからの政府警告と制限に合流します。パターンは一貫しています。規制当局が自律エージェントフレームワークを注意深く監視し、OpenClawのオープンスキルモデルが特に精査を引いてます。

なぜ重要か。 政府勧告は禁止ではありません。しかしコンプライアンス会話をシフトします。シンガポールの規制境界内、または類似のガイダンスを持つ管轄区域で運用する組織は、OpenClawデプロイメントがオープンソースプロジェクトが出荷する以上の階層化されたセキュリティ制御を含むことを実証する必要があります。これがハードニングされたエンタープライズデプロイメントが閉じるように設計された正確なギャップです。

出典:CSA Advisory AD-2026-005

Microsoft ClawPilotが3,000以上の社内ユーザーに到達

Microsoftの社内OpenClawベースのデスクトップアシスタントClawPilot(「Project Lobster」配下)が、約100人の社内テスターから5月初めに3,000以上のユーザーに拡大しました。コーポレートバイスプレジデントのOmar Shahine主宰で、ClawPilotはユーザーシグナルを監視し、受信トレイをトリアージし、アクションアイテムをフォローアップする常時稼働のエージェントチームを提供します。OpenClaw上に構築されたTeamsプラグインは既に社内で利用可能で、MicrosoftはMicrosoft 365 Copilot向けのより安全でエンタープライズグレードのOpenClawライク機能を試験中で、Build頃に期待されています。

なぜ重要か。 Microsoft自身の社内採用がMicrosoft中心の環境向けのアーキテクチャを検証します。Big Hat Groupが特化するのと同じ環境です。ClawPilotが約1週間で100から3,000ユーザーに急拡大したことは、MicrosoftがOpenClawエージェントモデルに実際の生産性価値を見ていることを示します。Microsoft 365のエンタープライズにとって、これは「エンタープライズ準備ができているか」リスクを削減します。Microsoftが自社の労働力向けにOpenClawを信頼するなら、問いは「使うべきか」ではなく「どうハードニングするか」になります。完全なMicrosoft中心ITチーム向けClawPilotディープダイブをお読みください。

出典:GeekWireCloud Wars

ASRock Claw Quickset — ワンクリックWindowsインストーラー

ASRockClaw Quicksetを発表しました。ASRock Clawハンドヘルドやその他のWindows PC上でOpenClawインストールを自動化するワンクリックWindowsアプリケーションです。ローカル対クラウドモデル設定、ランタイム管理、ワークスペース設定のGUIウィザードを提供します。手動のターミナルコマンドは不要です。

なぜ重要か。 これはWindows上のOpenClaw向け初のコンシューマフレンドリーなインストーラーです。ASRockのターゲット市場はハンドヘルドゲーミングPCユーザーですが、同じインストールパターンはWindows 365 Cloud PCAzure Virtual Desktopに直接適用可能です。ITがユーザーにCLI設定のナビゲートを要求せずにOpenClawをデプロイする必要がある環境です。エンタープライズデプロイメントツールがこのパターンに続くことを期待してください。

出典:ASRock

上流ハードニングとその他のリリース

Skill Workshopを超えて、リリース列は意味あるセキュリティハードニングをもたらしました。

  • Windows ComSpecハイジャック修正#77472)。プロセスラッパーは共有リゾルバ経由でルーティングし、UNCパスとセミコロン区切りパスリストを拒否するようになりました
  • プラグイン診断信頼#77516)。バンドル済みまたは@openclaw/diagnostics-*パッケージのみが内部診断機能を受信
  • fs-safeライブラリ。安全なパス解決とシンボリックリンク攻撃防止向けの新しいファイルシステムハードニングライブラリ(GitHub
  • Gateway設定フェイルクローズド。v2026.6.1-beta.1の破壊的変更で、無効な設定は最後の既知の正常な状態から自動復元せずGateway全体を停止します。openclaw doctor --fixで修復
  • v2026.5.3-1のパフォーマンスDoS#77519)。運用者は1500倍のsessions.listリグレッションのためこのバージョンを完全に避けるべき

安定リリースv2026.5.28はClaude Opus 4.8サポート、ネイティブiPadレイアウトを備えるiOS Pro UI、CopilotとCodexランタイム向けのSupervisorプラグイン、暗号化PDFレンダリングを出荷しました。

EnterpriseClawとガバナンスエコシステム

CIO.comEnterpriseClawをカバーしました。ポリシー執行、監査証跡、コンプライアンス制御を備えたファイアウォール背後のエージェント管理を可能にする商用ガバナンスレイヤーです。別個に、AxonFlowがOpenClawツールコールと送信メッセージ向けの構造化ポリシー執行を出荷しました。エージェントワークフロー向けのガバナンスアズコードです。

これらのサードパーティガバナンス製品は、OpenClawを「独立、コミュニティ駆動、永遠にオープン」であり続けることを保証するとして位置づけられたOpenClaw Foundationopenclaw.org)と並行して現れています。Foundation参加者にはMicrosoftGitHubAtlassianConvexOpenAIがGitHub Secure Open Source Fund経由で含まれます。

なぜ重要か。 ガバナンスエコシステムがコアプロジェクトと並行して形成されています。上流プロジェクトが優先できないセキュリティとコンプライアンスのギャップを埋める商用レイヤーです。エンタープライズバイヤーにとって、これは健全なシグナルです。「ハードニングされたOpenClaw」会話が「誰かこれを構築すべきか」から「どのベンダーのガバナンスレイヤーが我々のスタックに合うか」に進化しています。

出典:CIO.comAxonFlow

注視すべきポイント

  • Skill Workshopの安定版化。 ガバナンススキル作成フローが今週ベータでランディング。安定リリースタイムラインが、CSAが指摘したスキル信頼モデルを意味ある形で改善するかを決定します
  • Microsoft Build 2026。 M365 Copilotのエージェント機能、Build頃に期待、はOpenClawのアーキテクチャを検証するか直接競合する可能性。ClawPilotの3,000ユーザーの社内テストは強い先行指標
  • Claw Chainパッチ採用。 65,000〜180,000の露出インスタンスと完全な攻撃チェーンが公に文書化された状態で、パッチ速度がOpenClaw更新エコシステムの主要なテストに
  • インフォスティーラー対抗策。 Vidar事例はおそらく多くの最初の1。資格情報ボールト化、ディスク上暗号化設定、おそらくランタイムシークレットスキャンが必須機能として現れることを期待
  • Gateway設定フェイルクローズド。 v2026.6.1-beta.1の破壊的変更は自動復旧に依存する運用者を捕捉します。更新前にdoctor --fixを理解してください

来週もOpenClawエコシステムの発展のラウンドアップをお楽しみに。組織がWindows 365、Azure、またはMicrosoftエコシステムのいずれかで本番向けにOpenClawを評価している場合は、お問い合わせください。Big Hat GroupはEntra IDアイデンティティ、署名付きスキル、Intuneコンプライアンス、Azureネイティブアーキテクチャを備えたハードニングされたOpenClawデプロイメントを提供します。