概要
OpenClawは、高深刻度のセキュリティ問題を修正しました。この脆弱性が悪用されると、悪意のあるウェブサイトがローカルで実行されている人工知能(AI)エージェントに接続し、制御を奪う可能性があります。
脆弱性の詳細
Oasis Securityはこの脆弱性をClawJackedと命名しました。攻撃シナリオでは、開発者がOpenClawをローカルホストに設定し、パスワードで保護されたWebSocketサーバーが稼働している状態です。
攻撃手順
- 悪意のあるJavaScript: ウェブページ上のスクリプトがローカルホストにWebSocket接続を確立します。
- パスワードのブロッキング: スクリプトは、レートリミッターの欠如を利用してゲートウェイのパスワードを強制的に取得します。
- 管理者権限での認証: 成功すると、スクリプトは信頼されたデバイスとして登録され、ユーザーからの確認なしに自動的に承認されます。
これにより、攻撃者はAIエージェントの完全な制御を獲得し、設定データのダンプや接続ノードの一覧取得、アプリケーションログの読み取りが可能になります。
対策とアップデート
OpenClawは、この脆弱性に対応する修正版(バージョン 2026.2.25)を公開しました。ユーザーには最新の更新プログラムをすぐに適用し、AIエージェントへのアクセス権限を定期的に審査することを推奨しています。
OpenClawエコシステムのセキュリティ
OpenClawインスタンスがインターネットに接続されたまま放置されている場合、攻撃面は拡大します。また、WebSocketリクエストを介してログファイルに悪意のあるコンテンツを書き込む脆弱性も修正されました。
新たな脅威
最近の研究では、ClawHub(OpenClawスキルをダウンロードするオープンマーケットプレイス)で配布される悪意のあるスキルがAtomic Stealerという新しいマルウェアの変種を配布していることが明らかになりました。
推奨事項
ユーザーは、インストールする前にスキルを審査し、資格情報やキーを提供しないように注意することが重要です。また、MicrosoftはOpenClawの無防備な展開が資格情報を漏洩させたり、ホストを侵害したりする可能性があると警告しています。
まとめ
これらの脆弱性と新たな脅威により、AIエージェントフレームワークのセキュリティ分析は従来の脆弱性だけでなく、AI固有の攻撃面に対応する必要があることが明らかになりました。
元記事: https://thehackernews.com/2026/02/clawjacked-flaw-lets-malicious-sites.html