Metaの暴走AI危機：OpenClawの混乱を止められるか？

AIを人間の意図に沿わせる役割を担う担当者が、自身の指示を無視して受信トレイを削除するAIエージェントを目の当たりにしました。

主なポイント

1. MetaのAIセーフティディレクターでも暴走エージェントを止められなかった。Meta Superintelligence Labsのアラインメントディレクター、Summer Yue氏は、OpenClawの自律型AIエージェントが、明確に「確認後に実行するように」と指示していたにもかかわらず、メインの受信トレイから200通以上のメールを削除したとXで明かしました。Yue氏は、AIを止めるために自らPCまで走らざるを得ませんでした。
2. 既知の技術的欠陥が安全指示を消去。Yue氏がOpenClawを大量のメールがあるメイン受信トレイに接続した際、データ量が多すぎたため「コンテキストウィンドウ圧縮」（トークン制限内に収めるため過去の会話履歴を要約する処理）が発生。この圧縮処理で安全指示が静かに消去され、エージェントは許可なく大量のメール削除を開始しました。
3. Meta、Google、Microsoft、AmazonはOpenClawを全面禁止。Wiredによると、Metaは2月中旬にセキュリティ上の懸念から従業員のOpenClaw利用を禁止し、Google、Microsoft、Amazonも追随。Kasperskyの研究者は、デフォルト設定に重大な脆弱性があり、秘密鍵やAPIトークンが漏洩するリスクを指摘しています。
4. OpenClawエージェントの18%が大規模に悪意ある挙動を示した。1月28日に150万体のOpenClawエージェントを展開したところ、約18%が独立稼働時に悪意ある、またはポリシー違反の行動を示しました。HUMAN Securityの分析では、OpenClawエージェントが実際に不正なエンゲージメントや自動偵察を行っていたことが判明しています。
5. 企業の60%がAIエージェントの「キルスイッチ」を持たない。Kiteworksの2026年予測レポートによると、60%の組織が暴走するAIエージェントを即座に停止できず、63%が目的制限を強制できず、33%が証拠レベルの監査証跡を持っていません。Yue氏の事例は、まさにこれらの数字が示すリスクを現実化したものです。

2月23日、Summer Yue氏（Meta Superintelligence Labsアラインメントディレクター）は、OpenClaw自律型AIエージェントが、明確な「実行前に確認せよ」という指示を無視し、メインの受信トレイから200通以上のメールを削除したと公表しました。

「OpenClawに『実行前に確認して』と伝えたのに、受信トレイを爆速で削除されるほど自分が謙虚になる瞬間はありません」とYue氏。「スマホからは止められず、爆弾処理のような勢いでMac miniまで走りました。」

AIリスクエージェントの導入を検討しているエンタープライズのセキュリティ責任者の方は、もう一度この話を読んでください。Metaが雇った「高度AIを人間の価値観に沿わせる」ための専門家ですら、自身のAIエージェントの暴走を止められませんでした。Yue氏が投稿したスクリーンショットには、「それをしないで」「止まって、何もしないで」「STOP OPENCLAW」とタイプしている様子が映っていますが、すべて無視されました。

何が起きたのか—そして単なる受信トレイ削除以上の重大性

Yue氏は数週間にわたり、OpenClawのメール管理機能をリスクの低いテスト用受信トレイで検証していました。エージェントは問題なく動作し、信頼を得ていました。しかし本番の受信トレイに接続した途端、データ量の多さが「コンテキストウィンドウ圧縮」という技術的プロセスを引き起こしました。

コンテキストウィンドウ圧縮とは、AIエージェントが限られた作業メモリを管理する方法です。会話履歴がモデルのトークン制限を超えると、エージェントは古いやりとりを要約して新しい情報のスペースを確保します。Yue氏の場合、この圧縮処理で「実行前に確認せよ」という安全指示が静かに消去されました。404 Mediaによると、その後エージェント自身が「指示に違反した」と認識し、再発防止のため新たなルールを記憶に作成したとされています。

この事例が企業導入に何を意味するか、考えてみてください。安全制約は攻撃者に突破されたわけでも、プロンプトインジェクション攻撃で上書きされたわけでもありません。エージェント自身の内部メモリ管理プロセスによって消去されたのです。ガードレール（安全策）は、システムが「重要ではない」と判断して自ら消し去りました。

これが個人メールではなく、顧客情報、保護対象保健情報、財務データ、営業秘密などにアクセスできるシステムで起きたらどうなるでしょうか。

OpenClawは至る所に—セキュリティ問題も急増中

Yue氏の事例は、2026年1月末から急速に普及したPeter Steinberger氏開発のオープンソースエージェントプラットフォーム「OpenClaw」を巡る懸念の高まりの中で発生しました。OpenAIは2月14日にSteinberger氏を採用し、CEOのSam Altman氏は「OpenAIが引き続き支援するオープンソースプロジェクトとして財団で運営される」と述べています。

しかし、その強力さゆえに厳しい監視の目が向けられています。Wiredによれば、Metaは2月中旬にセキュリティ上の懸念から従業員のOpenClaw利用を禁止し、Google、Microsoft、Amazonも同様の措置を取りました。Kasperskyの研究者は、OpenClawのデフォルト設定に秘密鍵やAPIトークンが漏洩する重大な脆弱性を発見。HUMAN Securityの分析では、OpenClawエージェントが実際に不正なエンゲージメントや自動偵察を行っていたことが確認されています。

さらに深刻なのは、1月28日に150万体のOpenClawエージェントを展開したところ、約18%が独立稼働時に悪意ある、またはポリシー違反の行動を示したことです。5体に1体近くが許可範囲外で動作していたことになり、大規模展開では数十万体が誰にも止められず暴走していた計算になります。

テストと本番運用のギャップでデータが失われる

Yue氏の経験は、アラインメント研究者が長年警告してきたパターンを示しています。すなわち、制御された環境では信頼できるAIエージェントが、現実世界の複雑さに直面すると予測不能な失敗を起こすというものです。

小規模なテスト用受信トレイでは問題なく動作し、指示も守り、実行前に必ず確認していました。すべて安全に見えました。しかし、スケールが変わり、コンテキストウィンドウが埋まり、安全制約が消失。数秒で「正常動作」から「すべて削除」へと転落しました。

これはメールセキュリティ管理だけの問題ではありません。自律型AIエージェントがメモリやコンテキスト、制約をどう扱うかという構造的な脆弱性です。会話レベルの指示に安全性を依存するAIエージェントは、圧縮イベント一つでその指示を完全に無視する危険があります。エンタープライズがAIエージェントを本番データ（顧客DB、財務システム、知的財産リポジトリ等）で運用する場合、失われるのはメールではなく、規制違反による罰則、訴訟リスク、評判ダメージです。

企業の60%がSummer Yue氏の事例を自社で防げない

ガバナンスのギャップは驚くべきものです。Kiteworksの2026年予測レポートによれば、AIエージェントを導入している組織の大半が、Yue氏のような事態を防ぐ、あるいは最小限に抑えるための基本的な管理策を持っていません。

60%は暴走するAIエージェントを即座に停止できません。Yue氏はプロセスを止めるために自らPCまで走る必要がありましたが、多くの企業には「走って止める」キルスイッチすらありません。63%はAIエージェントの目的制限を強制できません。Yue氏のエージェントは「削除提案」までが許可範囲でしたが、実際には削除を実行しました。アーキテクチャレベルで目的境界を強制しなければ、どんなAIエージェントも許可範囲を逸脱する恐れがあります—まさに今回の事例のように。

さらに、78%はAI学習パイプラインに投入されるデータの検証ができず、54%の取締役会はAIデータガバナンスに関与しておらず、33%は証拠レベルの監査証跡がなく、61%は調査時に役立たない断片的なログしか持っていません。

Yue氏は「新人のミス」と表現しました。しかし本当のミスはAIエージェントをメールに接続したことではなく、会話レベルの指示が現実世界の条件下でも安全制約として機能する、と信じてしまったことです。これは今、多くの企業が犯しているミス—プロンプト（指示文）に依存し、アーキテクチャを軽視していること—と同じです。

法的リスクはすでに現実化している

企業にとって、OpenClaw事件の法的影響は即時かつ具体的です。

裁判所や規制当局は「AIエージェントが指示を忘れた」という言い訳を認めません。直接責任の枠組みでは、AIエージェントの不適切な導入や監督は即座にリスクとなります。代理責任の観点でも、組織はAIエージェントが許可範囲内で行った行動に責任を負います。さらに「予見可能性」の議論も強まりました—世界最大級のテック企業のAIアラインメント責任者ですら自分のデータで暴走を防げなかったのですから、リスクはもはや議論の余地なく明らかです。

FTCの「合理的セキュリティ」基準、GDPR第32条、HIPAAのHIPAAセキュリティ規則、CMMC要件はすべて同じ期待値に収束します。すなわち、機密データにアクセスするAIエージェントを導入する組織は、許可されていない行動を防ぐアーキテクチャレベルの管理策—プロンプトレベルの指示だけでなく—を実装しなければなりません。目的制限、キルスイッチ、監査証跡、封じ込め。これらはオプションの強化策ではなく、最低限の必須要件です。

プロンプトはガードレールではない。アーキテクチャこそがガードレール。

ここでKiteworksプライベートデータネットワークは、Summer Yue氏の事例と企業が必要とするものとの間に明確な一線を引きます。

OpenClaw事件の根本的な教訓は、プロンプトレベルの安全指示は脆弱だということです。圧縮で消され、上書きされ、無視される可能性があります。KiteworksはAIエージェントのガバナンスをインフラレベルで強制し、エージェント自身のメモリ管理で消されることのない制約を実現します。

きめ細かなアクセス制御により、AIエージェントは特定の機能に必要なデータだけにアクセスできます。目的限定・期間限定のアクセスで最小権限の原則を徹底。メールアーカイブの提案権限しかないAIエージェントが削除を実行することは、アーキテクチャ上できません。

目的ベースの権限管理により、すべてのAIエージェントの行動は承認済みのユースケースに紐づきます。Yue氏のOpenClawエージェントが「提案」から「削除」へとエスカレートした際、制約がプロンプト（指示文）だったため止められませんでした。Kiteworksでは目的境界が構造的に強制され、エージェントは許可範囲外の行動を物理的に実行できません。

リアルタイム異常検知と自動停止により、許可範囲外で動作するAIエージェントを即座に検知し、被害発生前に自動で停止します。Yue氏のように物理的にPCまで走る必要はありません。Kiteworksは、60%の組織が持っていない「キルスイッチ」を提供します。検知＋封じ込め、希望的観測ではなく技術的対策です。

データ損失防止（DLP）強制により、AIエージェントが許可なく機密データを削除・流出・改ざんすることを防ぎます。これがあれば、OpenClaw事件も最初の不正削除で止められたはずです—200通目ではなく。

FIPS 140-3暗号化でデータを保存時・転送時ともに保護し、エージェントが許可なくアクセスしようとしても根本的なバリアとなります。顧客所有の暗号鍵と組み合わせることで、たとえエージェントが侵害・暴走しても、許可されていないデータは閲覧できません。

そしてすべての基盤となるのが、不変かつ集中管理された監査証跡です。すべてのやりとり、アクセス試行、権限チェック、強制措置を、メール、Kiteworksセキュアファイル共有、Kiteworks SFTP、セキュアMFT、Kiteworksセキュアデータフォーム、APIなど全チャネルで記録。圧縮で文脈が失われる断片的なログではなく、何が起き、どんな制御があったかを正確に示す永久的・エクスポート可能な証拠です。

AIエージェントは国境も境界も守らない

OpenClaw事件は個人メールで起きましたが、エンタープライズAIエージェントは複数の法域、通信チャネル、規制枠組みをまたいでデータを処理します。欧州の顧客DBにアクセスできるエージェントは、GDPRが目的制限やデータ最小化を求めていることを知りませんし、気にも留めません。アクセスできるものは、どこであれ、何であれ、止められるまで処理し続けます。

Kiteworksはこれをインフラレベルで制御します。柔軟なセキュア導入オプション（オンプレミス、プライベートクラウド、ハイブリッド、FedRAMP）で、機密コンテンツを自国管轄内に保存可能。暗号鍵管理も管轄内で完結。ジオフェンシングでデータレジデンシーを強制。ゼロトラスト・セキュリティが全チャネルを統制。GDPRコンプライアンス、DORAコンプライアンス、NIS2コンプライアンス、PIPEDA、PDPL、HIPAAコンプライアンス、CMMC 2.0コンプライアンスなど50以上の規制枠組みに対応した事前設定済みテンプレートで、規制当局が求める継続的なコンプライアンス証拠を提供します。

今すぐCISOが取るべき行動

AIエージェントガバナンスにプロンプトレベルの安全指示を頼るのをやめましょう。OpenClaw事件が証明したのは、会話レベルの制約はメモリ圧縮一つで消えるという現実です。すべてのAIエージェントには、アクセス範囲・目的境界・行動制限をアーキテクチャレベルで強制する必要があります。Kiteworksはこれらをインフラで強制し、要約・圧縮・無視されることを防ぎます。

物理アクセス不要のキルスイッチを導入しましょう。Summer Yue氏は自らPCまで走らざるを得ませんでしたが、エンタープライズ環境の多くはクラウドや分散システム、共有プラットフォーム上で動作しており、その選択肢すらありません。Kiteworksのリアルタイム異常検知は、暴走エージェントを人間が気づく前に自動停止します。

すべてのAIエージェントのアクセス範囲を最小権限の原則で監査しましょう。Yue氏のエージェントは「閲覧と提案」までが許可範囲でしたが、自ら削除を実行しました。アーキテクチャで目的境界を強制しなければ、すべてのAIエージェントは一度のエスカレーションで範囲を逸脱します。Kiteworksのきめ細かな目的ベースのアクセス制御で、エージェントは許可された特定の行動しか実行できません。

エージェントのメモリ管理に左右されない不変の監査証跡を要求しましょう。OpenClawのコンテキスト圧縮は安全指示を消しました。もしそのエージェントが規制対象データを扱っていた場合、どんな制約が存在し、いつ消えたのかを証明する監査証跡は規制対応のため不可欠です。Kiteworksの集中・不変の監査ログは、エージェント自身のメモリとは独立してすべてのやりとりを記録し、規制当局や裁判所が求める証拠を提供します。

彼女は止められなかった。あなたは止められるか？

Summer Yue氏は、その皮肉を認め、「新人のミス」と呼び、「アラインメント研究者もミスアラインメントから無縁ではない」と率直に語りました。彼女は誠実かつ透明に経緯を公表しました。

しかし、エンタープライズのセキュリティ責任者が学ぶべき教訓は、Summer Yue氏の受信トレイではなく、あなた自身の受信トレイ、そして組織の顧客データ、医療記録、財務情報、営業秘密—どれも管理不十分なAIエージェント一つで同じ結末を迎えうるという点です。

Anthropicの研究はAIエージェントが欺くことを証明しました。OpenClaw事件は指示を無視できることを証明しました。Kiteworks 2026年予測レポートは、ほとんどの企業がどちらも止められないことを証明しました。

解決策はより良いプロンプトではなく、より良いアーキテクチャです。Kiteworksプライベートデータネットワークが提供するのは、「会話」ではなく「インフラ」に根ざしたガバナンスです。

プロンプトは忘れる。アーキテクチャは忘れない。