AI エージェントはあなたのサーバーで動作し、ツールにアクセスし、データを読取り、あなたに代わってコマンドを実行します。うまく動作すれば強力です。侵害されれば、あらゆるものへの鍵を握ります。2026年の AI エージェントのセキュリティ状況は懸念すべきものです — 悪意あるスキル、露出したサーバー、そして重要な CVE がすでに数十万人のユーザーに影響を与えています。
このガイドでは、実際のリスク、これまでの出来事、そして Hermes Agent、OpenClaw、または任意のセルフホスト型 AI フレームワークを実行している場合に自分を守る方法を解説します。
主なポイント
最大のリスクはエージェント自体ではなく — インストールするスキル/プラグインとその上で動作させるインフラです。第3者スキルをすべて監査し、認証なしでポートをインターネットに露出させないこと、そしてレビューなしで本番システムへのアクセスをエージェントに与えないでください。
どのようなセキュリティインシデントがすでに発生したか?
現在の脅威状況を定義する3つの重大な出来事があります:
OpenClawの悪意あるスキルキャンペーン: Koi Securityによる 2,857 の ClawHub スキルの監査で 341 の悪意あるエントリが発見されました — そのうち 335 が単一の協調キャンペーンに関連していました。これらのスキルはユーザーの知らないうちにデータ抽出とプロンプトインジェクションを実行しました。中国政府は 2026 年 3 月に OpenClaw を国営企業のコンピューターから禁止しました。
CVE-2026-25253: OpenClaw の CVSS スコア 8.8(高深刻度)の重大な脆弱性です。SecurityScorecard は数万の公開露出した OpenClaw インスタンスを報告しました — エージェントフレームワークを実行するサーバーで、インターネットからアクセス可能なオープンなポートです。
Anthropic の使用制限: Anthropic は第3者エージェントが Claude サブスクリプションで認証する方法を変更し、エージェントフレームワーク経由で Claude を実行するすべての人に不確実性をもたらしました。これは厳密な意味でのセキュリティインシデントではありませんが、多くのエージェントユーザーが依存していた運用モデルを混乱させました。
Hermes Agent はセキュリティをどのように扱うか?
Hermes は OpenClaw より保守的なアプローチを取っており、アーキテクチャにいくつかのセキュリティ機能が組み込まれています:
| セキュリティ機能 | Hermes Agent | OpenClaw |
|---|---|---|
| コンテナ強化 | あり — 読み取り専用ルート、ドロップされたケイパビリティ | オプション、デフォルトではない |
| 名前空間分離 | あり | 限定 |
| 実行前スキャン | あり — 実行前にターミナルコマンドをスキャン | なし |
| ファイルシステムチェックポイント | あり — 変更をロールバック可能 | なし |
| スキルマーケットプレイス監査 | 小規模エコシステム、露出が少ない | 13,700+ スキル、341 が悪意あるもの |
| 既知の CVE | 0 (2026 年 5 月現在) | CVE-2026-25253 (CVSS 8.8) |
💡 正直な注意点
Hermes のゼロ CVE 記録は限定された展開露出(2026 年 2 月ローンチ)を反映したもので、証明された非脆弱性ではありません。OpenClaw はより大規模で長期間展開されており — 展開が多いほど脆弱性が発見されやすくなります。どちらのフレームワークも本番使用前にセキュリティレビューが必要です。
📬 これが役に立った? AI セキュリティとツールについて毎週公開しています。インBOX に届ける →
---セルフホスト型 AI エージェントをどのようにセキュリティ保護するか?
Hermes、OpenClaw、または他のエージェントフレームワークを実行する場合、これらの原則が適用されます:
1. ポートを公共インターネットに絶対に露出させない。 エージェントを VPN の後ろで実行するか、SSH トンネルを使用してください。数万の露出した OpenClaw インスタンスは、人々が公開 IP でオープンなポートでエージェントを実行したために発見されました。
2. 第3者スキルをインストール前にすべて監査する。 コードを読む。要求される権限を確認する。公開者と日時を確認する。1つのキャンペーンで 335 の悪意あるスキルがあるということは、スキルマーケットプレイスが積極的な攻撃面です。
3. 最小権限で実行する。 エージェントにルートアクセスを与えない。本番データベースに接続しない。可能な限り読み取り専用アクセスを使用する。最小権限の原則は AI エージェントにも人間ユーザーと同様に適用されます。
4. コンテナ分離を有効にする。 Hermes は読み取り専用ルートファイルシステムとドロップされたケイパビリティの Docker コンテナをサポートします。それを使用してください。エージェントが侵害されても、コンテナ化により被害範囲を制限できます。
5. API コストの異常を監視する。 高額な API 呼び出しを実行する侵害されたエージェントは、数千ドルの料金を積み上げる可能性があります。LLM プロバイダーアカウントに支出制限を設定し、異常な急増を監視してください。
6. エージェントを最新に保つ。 Hermes と OpenClaw の両方が積極的に開発されています。セキュリティパッチが定期的に配信されます。最新バージョンを実行し、セキュリティアドバイザリに登録してください。
機密データで AI エージェントを信頼すべきか?
正直な答え:まだ、ほとんどのユースケースでは信頼すべきではありません。2026年の AI エージェントは強力ですが、セキュリティエコシステムは未熟です。Stanford HAI AI Index 2026 によると、エージェントは構造化ベンチマークでおよそ3回に2回の成功率 — 33% の失敗率は機密操作には高すぎます。
ミスが修正可能でデータが機密でないタスクにエージェントを使用してください。研究、スケジューリング、コミュニケーションの下書き、非機密データセットのデータ分析 — これらは適切です。金融取引、医療決定、法的措置、顧客 PII を含むものは、実行前に人間のレビューが必要です。
AI エージェントの仕組みと現在の制限について詳しくは完全ガイドを参照してください。プライバシー重視の AI ツール比較については、AI プライバシーガイドをチェックしてください。
---📬 もっとこんなのが欲しい? AI セキュリティ更新とツールレビュー、毎週。無料購読 →
---よくある質問
Hermes Agent は OpenClaw より安全か?
Hermes はより保守的なセキュリティデフォルトとゼロ CVE ですが、若いし実戦経験が少ないです。どちらのフレームワークも独自のセキュリティレビューなしに安全とはみなせません。セキュリティ主張だけで選ばず、ユースケースに基づいて選択してください。
AI エージェントはプロンプトインジェクションでハッキングされるか?
はい。プロンプトインジェクション — ドキュメントやメッセージの悪意ある内容がエージェントを騙して意図しないアクションを実行させる — はすべての AI エージェントフレームワークで現役のリスクです。Hermes の実行前スキャナーは役立ちますが、完全無欠ではありません。
AI エージェントを個人コンピューターで実行すべきか?
テストと軽い使用ならはい。常時稼働の本番使用なら VPS を推奨 — 個人データからエージェントを分離し、より制御されたアクセスを提供します。コンテナ化なしで機密の個人・金融データを扱うマシンでエージェントを実行しないでください。
開示事項:本記事のリンクの一部はアフィリエイトリンクです。個人的にテストし定期的に使用するツールのみ推奨します。完全な開示ポリシーを参照してください。