サイバーニュース.jp

世界のサイバーなニュースを配信

OpenClawに深刻なRCE脆弱性、悪意のあるリンクでワンクリック遠隔コード実行の危険

カテゴリ:

概要

人気のオープンソースAIアシスタント「OpenClaw」(旧称:Clawdbot、Moltbot)に、悪意のあるリンクを介してワンクリックで遠隔コード実行(RCE)を可能にする深刻なセキュリティ欠陥が発見されました。この脆弱性(CVE-2026-25253、CVSSスコア:8.8)は、ユーザーのデバイス上でローカルに動作するAIアシスタントのゲートウェイを完全に侵害する恐れがあります。

この問題は、2026年1月30日にリリースされたバージョン2026.1.29で既に修正されています。

脆弱性の詳細

OpenClawの「Control UI」が、クエリ文字列からのgatewayUrlを検証せずに信頼し、読み込み時に自動接続する仕組みが悪用されます。これにより、UIに保存されているゲートウェイトークンがWebSocket接続ペイロードとして送信されてしまいます。

OpenClawの作成者兼メンテナーであるピーター・スタインバーガー氏の発表によると、「細工されたリンクをクリックしたり、悪意のあるサイトにアクセスしたりすることで、攻撃者制御下のサーバーにトークンが送信される可能性があります。攻撃者はその後、被害者のローカルゲートウェイに接続し、設定(サンドボックス、ツールポリシー)を変更したり、特権的なアクションを呼び出したりして、ワンクリックRCEを達成できます。」

OpenClawとは

OpenClawは、ユーザーのデバイス上でローカルに動作し、幅広いメッセージングプラットフォームと統合するオープンソースの自律型AIパーソナルアシスタントです。2025年11月にリリースされて以来、そのGitHubリポジトリは執筆時点で149,000以上のスターを獲得するなど、急速に人気を集めています。

スタインバーガー氏は、「OpenClawは、あなたのマシン上で動作し、あなたが既に利用しているチャットアプリから機能するオープンエージェントプラットフォームです。データが他社のサーバーに存在するSaaSアシスタントとは異なり、OpenClawはあなたの選択する場所(ラップトップ、ホームラボ、VPS)で動作します。あなたのインフラ、あなたの鍵、あなたのデータです。」と述べています。

攻撃手法

この脆弱性は、発見者であるセキュリティ研究者マヴ・レヴィン氏(depthfirst所属)によって詳細が明らかにされました。被害者が単一の悪意のあるWebページにアクセスするだけで、数ミリ秒のうちにワンクリックRCEエクスプロイトチェーンが発動する可能性があります。

問題は、OpenClawのサーバーがWebSocketのオリジンヘッダーを検証しないため、クロスサイトWebSocketハイジャック攻撃が発生することです。これにより、サーバーは任意のウェブサイトからのリクエストを受け入れてしまい、localhostのネットワーク制限を回避してしまいます。

悪意のあるウェブページは、この問題を悪用して被害者のブラウザ上でクライアントサイドJavaScriptを実行し、認証トークンを取得し、サーバーへのWebSocket接続を確立し、盗んだトークンを使用して認証をバイパスし、被害者のOpenClawインスタンスにログインすることができます。

さらに、攻撃者は盗んだトークンのoperator.adminおよびoperator.approvalsスコープを悪用することで、APIを通じて以下の設定変更を行うことができます。

  • ユーザー確認の無効化:exec.approvals.setoffに設定。
  • シェルツール実行コンテナからの脱出:tools.exec.hostgatewayに設定し、エージェントをDockerコンテナ内ではなくホストマシン上で直接コマンドを実行させる。

最終的に、攻撃者はnode.invokeリクエストを実行することで、任意のコマンド実行を達成します。

レヴィン氏は、「サンドボックスや安全ガードレールといった防御機能は、プロンプトインジェクションなど、LLMの悪意あるアクションを封じ込めるために設計されたものです。しかし、それらは今回の脆弱性(または爆発半径の制限)から保護するものではありませんでした。」と指摘しています。

影響と対策

スタインバーガー氏は、「この脆弱性は、インスタンスがループバックのみをリッスンするように設定されている場合でも悪用可能です。なぜなら、被害者のブラウザが外部接続を開始するからです。」と述べています。攻撃は、Control UIに認証したユーザーがいるOpenClawのどのデプロイメントにも影響します。

攻撃者はゲートウェイAPIへのオペレーターレベルのアクセスを獲得し、ゲートウェイホスト上の任意のコンフィグ変更とコード実行を可能にします。対策としては、OpenClawを最新バージョン2026.1.29に直ちにアップデートすることが強く推奨されます。

元記事: https://thehackernews.com/2026/02/openclaw-bug-enables-one-click-remote.html

投稿をさらに読み込む