概要
人気のオープンソースAIパーソナルアシスタントであるOpenClawに、重大なセキュリティ脆弱性が見つかりました。この脆弱性により、開発者が訪問したウェブサイトは、ユーザーの操作なしでそのOpenClawエージェントをハイジャックすることが可能となります。
OpenClawの概要
OpenClawは、GitHubスター数が10万を超える人気のあるAIツールです。開発者のワークフローを自動的に管理し、ラップトップやメッセージングアプリ、開発ツール間で情報を共有します。
脆弱性の詳細
この脆弱性は、OpenClawのゲートウェイシステムに存在するものです。ゲートウェイはローカルWebSocketサーバーとして機能し、認証やチャットセッション、設定管理、AIエージェントのオーケストレーションを行います。
攻撃手順
- 開発者が悪意のあるウェブサイトを訪問する
- そのウェブサイト上のJavaScriptがローカルOpenClawゲートウェイにWebSocket接続を開く
- 攻撃者はパスワードを推測し、ゲートウェイへの認証を得る
- 認証後、攻撃者は信頼されたデバイスとして登録され、ユーザー確認のプロンプトなしで完全なコントロールを獲得する
影響範囲
この脆弱性により、攻撃者は以下の操作を行うことができます:
- AIエージェントと対話し、応答を受け取る。
- ゲートウェイ設定にアクセスする(AIプロバイダーとメッセージングチャネルを含む)。
- 接続されたすべてのノードとそのIPアドレスを列挙する。
- アプリケーションログを読み取り、運用情報を得る。
これらのアクセス権限により、攻撃者はSlackの履歴からAPIキーを探し出す、プライベートメッセージを読む、ファイルをエクスフィルレートする、または接続されたデバイス上でシェルコマンドを実行することができます。
対策
OpenClawを使用しているユーザーと組織は、すぐにバージョン2026.2.25以降に更新することをお勧めします。これにより、この深刻な脆弱性から環境を保護することができます。
結論
開発者が採用したAIツールに対する可視化と統治の確保は、シャドウAIに関連するリスクを軽減するために不可欠です。