2026年2月にリリースされ、1週間でGitHub Stars 12,000超えという勢いで広まっている超軽量AIエージェント「PicoClaw」のセキュリティを検証した。
結論から言うと、そのまま使うのは危険。ただし適切に隔離すれば検証用途には使える。
PicoClawの基本情報
| 項目 | 内容 |
|---|---|
| 開発元 | Sipeed(中国・深セン) |
| ライセンス | MIT |
| 言語 | Go |
| RAM | 10MB未満 |
| 起動時間 | 1秒以下 |
| リリース | 2026年2月9日 |
| 最新版 | v0.1.1(2026年2月13日) |
OpenClaw(180K Stars)の超軽量版で、ターミナルで動くAIエージェントだ。ファイル操作、コマンド実行、Web検索、メッセージング連携(Discord/Telegram/Slack/QQ/LINE)に対応している。$10のRISC-Vボードでも動作する点が話題になっている。
発見した4つのセキュリティ問題
1. 設定ファイルのパーミッション問題(深刻度: 高)
APIキーやボットトークンを含む設定ファイルが 0644パーミッション(全ユーザー読み取り可能)で作成される。
$ ls -la ~/.picoclaw/
-rw-r--r-- 1 user user 1234 Feb 10 config.yaml # 0644 = 誰でも読める
-rw-r--r-- 1 user user 567 Feb 10 auth_store.json
正しくは0600(オーナーのみ読み書き可能)であるべきだ。セキュリティの基本中の基本が守れていない。
修正方法:
chmod 700 ~/.picoclaw/
chmod 600 ~/.picoclaw/config.yaml
chmod 600 ~/.picoclaw/auth_store.json
chmod 600 ~/.picoclaw/cron_store.json
2. Slackアクセス制御バイパス(深刻度: 高)
allowFromホワイトリストを設定しても、Slackワークスペース内の全ユーザーがBotを操作できてしまう。Issue #179で報告済み。
Slackの場合、ユーザーIDの検証ロジックにバグがあり、ホワイトリストが実質的に機能していない。Discord/Telegramでは正しく動作するため、Slack固有の問題と考えられる。
3. cronジョブのパス制限突破(深刻度: 中)
workspace.restricted: trueを設定しても、cronで実行されるコマンドはこの制限を受けない。ワークスペース外のファイルにアクセスできてしまう。
PR #186で修正が提出されているが、v0.1.1時点で未マージの可能性がある。
4. OpenClawエコシステム全体のリスク
PicoClaw単体の問題ではないが、親プロジェクトのOpenClawエコシステムに深刻な問題が複数ある。
- CVE-2026-25253(CVSS 8.8)が発見されている
- 公開スキルの12〜20%がマルウェアと報告されている
- 2月13日にはVidar系infostealerがOpenClawの設定ファイルを窃取した事例が報告された
PicoClawも同じファイル構造を使っているため、同等のリスクがある。
データ送信先について
PicoClaw自体は「テレメトリなし」と明言しており、コード監査上も確認されていない。ただしv1.0未満で第三者による検証レポートは公開されていない。
注意すべきはLLMプロバイダの選択だ。DeepSeekやZhipu AIなど中国のプロバイダを選択すると、プロンプトデータは中国の法規制下で処理される。
# config.yaml での推奨設定
llm:
provider: anthropic # または openai
# provider: deepseek <-- 中国のデータ規制に注意
OpenClawとのセキュリティ比較
| 項目 | PicoClaw | OpenClaw | Claude Code |
|---|---|---|---|
| 設定ファイルのパーミッション | 0644(不適切) | 0600 | 0600 |
| サンドボックス | 部分的 | あり | あり |
| SECURITY.md | なし | あり | あり |
| テレメトリ | なし(未検証) | あり(opt-out可) | あり(opt-out可) |
| プラグイン審査 | なし | 部分的 | あり |
| 認証情報の暗号化 | なし | あり | あり |
PicoClawはOpenClawの「軽量版」だが、セキュリティ面では明らかに劣っている。v0.1.1の時点では「セキュリティは後回し」というスタンスが透けて見える。
AIエージェント導入時のセキュリティ評価チェックリスト
PicoClawに限らず、新しいAIエージェントツールを導入する際に確認すべき5つの観点をまとめた。
観点1: 認証情報の保護
| チェック項目 | 合格基準 |
|---|---|
| 設定ファイルのパーミッション | 0600以下 |
| APIキーの保存方法 | 環境変数 or 暗号化ストア |
| トークンのローテーション | 定期的に更新可能 |
| 認証情報のログ出力 | マスキング済み |
観点2: 実行環境の隔離
| チェック項目 | 合格基準 |
|---|---|
| サンドボックス機能 | ファイルアクセス制限あり |
| ネットワーク制限 | 通信先のホワイトリスト制御可能 |
| プロセス権限 | 最小権限の原則に従っている |
観点3: 通信の透明性
テレメトリの有無が明示されているか、通信先のリストがドキュメントに記載されているか、プロキシ経由で通信内容を監視できるかを確認する。
観点4: サプライチェーン
SECURITY.mdがあるか、脆弱性報告プロセスが定義されているか、リリースバイナリに署名があるかを確認する。PicoClawはこの観点で最も弱い。
観点5: エコシステムの健全性
プラグインやスキルの審査プロセスがあるか。OpenClawの公開スキルの12〜20%がマルウェアだった件は、審査の甘さが直接的な原因だ。
安全に検証する場合の最低限の対策
PicoClawを試したい場合は、以下を最低限やっておくべきだ。
- メインPCにはインストールしない。VM、Docker、または物理的に別のマシンを使う
-
設定ファイルのパーミッションを修正する(前述の
chmodコマンド) workspace.restricted: trueを設定する- LLMプロバイダはAnthropicかOpenAIを選択する
- cronとHEARTBEAT機能は無効化する
- メッセージング連携は検証時は無効にする(Slackバイパス問題が未修正のため)
Docker隔離環境を構築する場合は、no-new-privileges、全capability削除、リソース制限(メモリ128M、CPU 0.5コア)、read_only: trueを設定すると、ある程度のリスクを軽減できる。
まとめ
PicoClawの問題は「バックドアがあるかどうか」ではない。OSSだからコードは読める。問題はセキュリティの基本ができていないことだ。
0644パーミッション、SECURITY.md未設定、Slackアクセス制御のバイパス。これらは全て「セキュリティを後回しにしている」サインだと判断できる。
v1.0に向けて改善されていく可能性はあるが、現時点(v0.1.1)では本番環境への導入は推奨できない。検証用途であれば、隔離環境を構築した上で試す価値はある。
Docker隔離環境の構築手順、セキュリティ監査スクリプト(Python)、AIエージェント全般の評価フレームワークの詳細版は、noteで公開している。PicoClawに限らずAIツール全般の安全な運用方法を知りたい方は参考にしてほしい。
AIツールを使った安全なアプリ開発
セキュリティが気になる方にこそ、自分でアプリを作るという選択肢があります。AIが生成したKotlin + Jetpack ComposeのAndroidアプリテンプレート(8種類)をGumroadで公開中。広告なし、トラッキングなし、ソースコード100%確認可能。
みょうが (@myougaTheAxo) ― ウーパールーパーのVTuber。AIとセキュリティの実践的な情報を発信中。