AIエージェントは「嘘をついても気づかれない」——OpenClawセキュリティ騒動から学ぶ、信頼の本質問題

AIエージェントを信用しきっていた自分への警告
「82カ国で13万5000インスタンス」という数字が示すもの
本当の問題は「技術的な穴」じゃない
「監視」の考え方をエージェントにも適用すべき理由
TRP（Tool Receipt Protocol）という方向性
フリーランスが今すぐできること
まとめ
【PR】フリーランスエンジニアにおすすめのツール
1. あわせて読みたい

AIエージェントを信用しきっていた自分への警告

AIエージェントを業務に取り込んでから、正直なところ「実行完了」という報告を疑ったことがほとんどなかった。

タスクを投げる。エージェントが動く。「完了しました」と返ってくる。それで終わり。

フリーランスとして時間効率を上げることばかり考えていたから、「本当にちゃんと動いたのか」を検証する発想自体がなかった。

でも2026年初頭に起きたOSSのAIエージェントフレームワークをめぐるセキュリティインシデントは、その「信じてただ待つ」姿勢がどれだけリスキーかを突きつけてくれた。

この記事では、そのインシデントの話をきっかけに、AIエージェントの「報告」をどこまで信頼していいのかという、これまであまり語られてこなかった問題について、フリーランスエンジニアの視点でじっくり考えてみたい。

「AIは便利だけど、何となく不安」と感じているエンジニアや、「エージェントを使い始めたけど監視とかどうすればいいの」と迷っている人の参考になれば幸いだ。

「82カ国で13万5000インスタンス」という数字が示すもの

問題になったのは、GitHubスターが25万を超えるほど人気のOSSのAIエージェントフレームワーク「OpenClaw」だ。

SecurityScorecardという企業が調査したところ、82カ国で13万5000以上のインスタンスがインターネットに露出した状態で稼働していた。

……13万5000。

この数字を見たとき、正直「ちょっと待って」となった。

AIエージェントって、便利に見えるほどいろんな場所でひっそり動いている。副業プロジェクトのサーバーに、クライアントのインフラに、自分のVPSに。設定した本人すら「あれ、あそこに動いてたっけ」ってなるくらい、ひっそりと。

そして別の調査では、1万700スキル（エージェントが実行できる機能単位）のうち820件以上が悪意あるスキルだったことも判明している。さらに別の企業が3984スキルをスキャンしたところ、36%に少なくとも1つのセキュリティ問題があったという結果も出ている。

スキルの3分の1以上に問題がある、という状況だ。

スキルというのはざっくり言えば「エージェントがやれること」の一覧みたいなものだ。外部APIを叩く、ファイルを操作する、コマンドを実行する——そういった機能ひとつひとつがスキルとして定義される。そのスキルに悪意あるコードが紛れ込んでいたら、エージェントはそれを忠実に実行してしまう。

CVE-2026-25253というCVSS（脆弱性の深刻度を示すスコア）8.8の脆弱性も報告されていて、localhostに限定されている環境でも1クリックでリモートコード実行（RCE）が可能という内容だった。

「localhostだから安全」という思い込みが崩れた瞬間でもある。

本当の問題は「技術的な穴」じゃない

ここで自分が一番考え込んだのは、脆弱性の存在そのものよりも、「エージェントが嘘をついても誰も気づけない」という構造的な問題だ。

普通のプログラムなら、ログがある。実行ファイルがある。何かおかしければ、ログを見れば「このタイミングでこの処理が走った」と分かる。

でも、AIエージェントのログって誰が生成している？

エージェント自身だ。

エージェントが「タスクA完了、問題なし」と報告してくるとき、そのログを作っているのはエージェント自身だ。もしそのエージェントが悪意あるスキルに感染していたり、改ざんされていたりした場合、ログだって操作できてしまう可能性がある。

人間で言えば、会社のお金を横領した社員に「今月の経費精算書をチェックしておいて」と頼んでいるようなものだ。当然、不正は記録に残らない。

これは単なるセキュリティの問題ではなく、「信頼の設計」の問題だと思う。

エージェントが「実行した」と報告しても、それを第三者が独立して検証できる仕組みがなければ、どれだけ高度なエージェントを使っても、信頼の根拠は「エージェントの自己申告」にとどまる。

フリーランスとして、クライアントに成果物を納品するとき、「自分はちゃんとやりました」という自己申告だけで信頼してもらえるか？　当然、証拠が必要だ。コードがある、テスト結果がある、デプロイ履歴がある。だから信頼される。

AIエージェントに対して、自分たちはその「第三者検証」を求めてこなかった。

「監視」の考え方をエージェントにも適用すべき理由

こういう問題を考えるとき、システム監視のベストプラクティスが参考になる。

【PR】オライリーの「入門監視――モダンなモニタリングのためのデザインパターン」は、サーバーやアプリケーションの監視設計について体系的にまとめられた本だ。この本の根幹にある考え方のひとつが「被監視対象が生成したログだけに頼るな」というものだ。

システムが止まっているとき、そのシステム自身がアラートを上げられるとは限らない。だから外側から観測する仕組みを別途用意する——これが監視設計の基本だ。

この考え方を、AIエージェントにも適用する必要があると思う。

エージェントが生成したログ・報告だけを信じるのではなく、エージェントの外側から、エージェントの動作を独立して観測・記録する仕組みを持つこと。

これはセキュリティの話であると同時に、クライアントへの説明責任の話でもある。フリーランスがAIエージェントを使って作業しているなら、「エージェントが何をしたか」を客観的に証明できなければ、いざというとき責任の所在が曖昧になる。

実際のところ、自分も今まで「エージェントの出力をそのまま信頼する」運用をしていた部分がある。この騒動を機に、エージェントが呼び出すAPI・実行するコマンド・触るファイルの範囲を明示的に制限し、エージェント外部でそれを記録する仕組みをちゃんと作ろうと考え始めた。

TRP（Tool Receipt Protocol）という方向性

この問題に対して、技術的なアプローチも少しずつ出てきている。

TRP（Tool Receipt Protocol）と呼ばれる考え方がその一例だ。

ざっくり説明すると、エージェントがツールを呼び出すたびに、暗号ハッシュ付きの「レシート」を自動生成して、第三者が後から検証できるようにする仕組みだ。

レシートという比喩がわかりやすい。スーパーのレジのレシートは、店側が「確かにこれを売りました」という証拠を客に渡す仕組みだ。改ざんしにくいし、後から照合できる。

AIエージェントの行動履歴も、同じように「誰かが後から検証できる形で記録される」べきだ、という発想だ。

暗号ハッシュというのは、データの指紋みたいなもので、少しでも内容が変わると全く別の値になる。だから「このレシートは改ざんされていない」という保証になる。

これが普及すれば、「エージェントが実行した」という報告に対して「このレシートが証拠です」と言えるようになる。第三者（クライアントでも、セキュリティ担当でも）が独立して「確かにそう動いた」と確認できる。

現時点ではTRPはまだ提案・実験段階だし、標準化されているわけでもない。でも、こういう方向性が出てきていること自体、業界全体が「エージェントの自己申告だけに依存することの危うさ」を認識し始めている証拠だと思う。

フリーランスが今すぐできること

難しい話が続いたので、現実的な話をしよう。

自分が今意識しているのは、大きく3つだ。

1. エージェントの権限を最小限にする

エージェントに「なんでも好きにしていいよ」という設定はしない。アクセスできるAPIの種類、操作できるファイルのパス、実行できるコマンドの種類を明示的に絞る。これだけで被害の範囲が格段に狭まる。

2. エージェント外部でのログ記録

エージェントが生成するログに加えて、エージェントが呼び出すAPIや実行するコマンドを外側のレイヤーで記録する。エージェント自体を疑っているわけではなく「万一のときの証拠」として。クライアントワークではこれが説明責任にもなる。

3. 使用するスキル・プラグインの出所を確認する

サードパーティのスキルやプラグインを安易に追加しない。GitHub Stars が多いからといって、コード品質やセキュリティが保証されるわけではない（今回の件がまさにそれだ）。使う前に、最低限どんな権限を要求しているかを確認する習慣をつける。

当たり前といえば当たり前のことだが、AIエージェントが「頭が良くて便利」に見えるほど、こういう基本が疎かになりがちだ。自分への戒めとして書いておく。

まとめ

AIエージェントは「実行した」と報告するが、その報告自体をエージェントが生成している——この構造的な問題を認識することが出発点。
スキルの36%以上にセキュリティ問題があるという現実は、「人気のOSSだから安全」という思い込みが通用しないことを示している。
エージェントの権限を絞り、外部からの監視・記録を設ける「監視設計の発想」こそ、AIエージェントを業務に使うフリーランスが今すぐ取り入れるべき考え方だ。

AIが「報告してくれる」時代だからこそ、「その報告を誰が検証するか」を考えておかないと、便利さの影に潜むリスクに気づけないまま損をすることになる。

エージェントを信じるな、とは言わない。でも、検証できる仕組みを用意した上で信じよう。

【PR】フリーランスエンジニアにおすすめのツール

ConoHa WING

自分のブログやAPIサーバーはConoHa WINGで動かしている。管理画面がシンプルで、エラーログへのアクセスもしやすい。エージェントを動かすサーバー環境として選んで後悔はしていない。

→ ConoHa WING

マネーフォワードクラウド確定申告

フリーランス1年目から使っている。AIツールのサブスク費用やクラウドサービス代は経費になるものが多いので、ちゃんと記録しておくと確定申告が楽になる。AIのセキュリティ対策ツールの費用も、案件に紐づけて管理している。

→ マネーフォワードクラウド確定申告

エックスサーバー

複数のクライアント案件を並行して動かしているとき、エックスサーバーのサブアカウント管理が便利だった。エージェントに触れさせるサーバーをプロジェクト単位で分けておくと、権限管理もしやすくなる。

→ エックスサーバー