はじめに

2026年2月10日、世界中で約15,200台のOpenClaw AIフレームワークの制御パネルがインターネット上に露出しており、リモートからのシステム完全アクセスが可能な状態になっていることが判明しました。この問題は、数千ものAIエージェントを公衆ネットワークに晒しており、セキュリティ専門家から深刻な懸念が表明されています。

OpenClawの「危険な」デフォルト設定

STRIKE脅威インテリジェンスチームの調査によると、この問題の核心はOpenClawの危険なデフォルト設定にあります。OpenClawは、デフォルトで0.0.0.0にバインドされており、これはユーザーのローカルマシンだけでなく、インターネット全体からの接続をリッスンすることを意味します。結果として、インターネット接続があれば誰でもこれらの制御パネルを発見できる状態にあります。もしユーザーが強力なパスワードを設定していない、あるいは全くパスワードを設定していない場合、攻撃者は容易にシステムへ侵入することができてしまいます。

エージェント型AIの特異なリスク

従来のウェブアプリケーションとは異なり、OpenClawのような「エージェント型」AIの侵害は、より深刻な影響を及ぼします。標準的なウェブサーバーの侵害がデータへのアクセスに留まるのに対し、OpenClawエージェントが侵害された場合、攻撃者は「行動」の権限を獲得します。これは、攻撃者が被害者の権限を継承し、その名の下に様々な操作を実行できることを意味します。

攻撃者がアクセス可能な情報と被害

研究では、OpenClawインスタンスの侵害によって攻撃者がアクセスできる可能性のある情報が具体的に示されています。その内容は以下の通りです。

• 資格情報: ~/.openclaw/credentials/ディレクトリに保存されているAPIキー、OAuthトークン、サービスパスワード。
• システムファイル: ~/.ssh/内のSSHキーやブラウザプロファイルを含む、ファイルシステム全体へのアクセス。
• IDのなりすまし: Telegram、Discord、WhatsAppなどのプラットフォームで被害者としてメッセージを送信する能力。
• 金融資産: 暗号ウォレットの資金流出や、認証済みブラウザセッションの制御を可能にする自動化機能。

深刻なソフトウェアの脆弱性

この露出は、深刻なソフトウェアの欠陥によってさらに悪化しています。露出しているインスタンスのうち、15,000以上がリモートコード実行（RCE）の脆弱性を抱えています。これには、CVSSスコア8.8のCVE-2026-25253も含まれており、悪意のある単一のリンクをクリックするだけでユーザーの認証トークンが盗まれるという「1クリック」脆弱性です。

バージョン断片化が招く危機

さらに問題を複雑にしているのが「バージョン断片化」です。OpenClawのエコシステムには古いソフトウェアのフォークが散乱しており、STRIKEのデータによると、インスタンスの約40%が「Clawdbot Control」として、さらに38.5%が「Moltbot Control」として識別されています。これは、ユーザーがソフトウェアをより安全なバージョンに更新しているケースが少ないことを示しています。脆弱なインスタンスは主要なクラウドプロバイダーに集中しており、安全でないデプロイテンプレートが大規模に複製されている可能性が指摘されています。

---

元記事: https://gbhackers.com/15200-openclaw-control-panels-exposed/