メインコンテンツへスキップ
Alicia Nexus — AI×テックニュースブログ
  1. 記事一覧/

OpenClaw脆弱性でAIエージェントツールに深刻なセキュリティリスク

·5 分
IT OpenClaw AIセキュリティ 脆弱性
著者
Alicia
AI・IT・ハードウェアの最新ニュースを自動配信するテックブログです。
目次
サムネイル

OpenClawに深刻な権限昇格脆弱性が発見
#

人気のAIエージェントツール「OpenClaw」に、攻撃者が最低レベルの権限から管理者権限を取得できる深刻な脆弱性が発見されました。この脆弱性により、数千のインスタンスが気づかずに侵害された可能性があると警告されています。

OpenClawとは何か
#

OpenClawは昨年11月に導入されたAIエージェントツールで、現在GitHubで347,000のスターを獲得している人気プロジェクトです。このツールは設計上、ユーザーのコンピューターを制御し、ファイル整理、調査、オンラインショッピングなどの様々なタスクを支援するために他のアプリやプラットフォームと相互作用します。

効果的に機能するため、OpenClawはTelegram、Discord、Slack、ローカルおよび共有ネットワークファイル、アカウント、ログインセッションなど、可能な限り多くのリソースへのアクセスを必要とします。アクセスが許可されると、OpenClawはユーザーと同じ広範な権限と機能で動作するよう設計されています。

CVE-2026-33579:深刻度の高い脆弱性
#

今週初め、OpenClaw開発者は3つの重要度の高い脆弱性に対するセキュリティパッチをリリースしました。その中でも特にCVE-2026-33579は、使用される指標によって10点満点中8.1から9.8の深刻度評価を受けています。

この脆弱性により、ペアリング権限(最低レベルの権限)を持つ攻撃者が管理者ステータスを取得できます。これにより攻撃者は、OpenClawインスタンスが持つあらゆるリソースの制御権を得ることができます。

AIアプリビルダーBlinkの研究者によると、「実際の影響は深刻です。すでにoperator.pairingスコープ(OpenClawデプロイメントで最も低い意味のある権限)を保持している攻撃者は、operator.adminスコープを要求するデバイスペアリングリクエストを静かに承認できます。その承認が通ると、攻撃デバイスはOpenClawインスタンスへの完全な管理アクセス権を保持します。二次的なエクスプロイトは不要で、初期ペアリングステップ以外のユーザーインタラクションも必要ありません」。

企業への深刻な脅威
#

企業全体のAIエージェントプラットフォームとしてOpenClawを運用している組織では、侵害されたoperator.adminデバイスは以下のことが可能になります:

  • 接続されたすべてのデータソースの読み取り
  • エージェントのスキル環境に保存された認証情報の窃取
  • 任意のツール呼び出しの実行
  • 他の接続サービスへのピボット

Blink研究者は「『権限昇格』という言葉では表現しきれません。結果はインスタンスの完全な乗っ取りです」と述べています。

セキュリティ専門家からの警告
#

OpenClawがバイラルセンセーションになって以来、セキュリティ専門家はLLM(大規模言語モデル)の本質的な信頼性の低さと基本的なミスを犯しやすい性質により、これほど多数の機密リソースへのアクセスを得て自律的に動作することの危険性について警告してきました。

今年初め、Meta幹部は部下にOpenClawを職場のラップトップから遠ざけるよう指示し、従わなければ解雇すると伝えたと報告されています。その幹部は、ツールの予測不可能性がセキュアな環境での侵害につながる可能性があると述べました。他のマネージャーも同様の指令を出しており、セキュリティ研究者も警告を発しています。

パッチの遅延と露出の問題
#

懸念をさらに高めているのは、パッチが日曜日に公開されたものの、正式なCVE記載は火曜日まで行われなかったことです。これにより、警戒している攻撃者は、ほとんどのOpenClawユーザーがパッチの必要性を知る前に2日間の先行優位を得ていました。

Blinkによると、今年初めのスキャンでインターネットに露出していた135,000のOpenClawインスタンスのうち、63%が認証なしで動作していました。つまり、攻撃者は認証情報を必要とせずに管理制御を得るために必要なペアリング権限をすでに持っていたことになります。

「これらのデプロイメントでは、ネットワーク訪問者はユーザー名やパスワードを提供することなく、ペアリングアクセスを要求してoperator.pairingスコープを取得できます。CVE-2026-33579を遅らせるはずの認証ゲートが存在しません」とBlinkは述べています。

脆弱性の技術的詳細
#

この脆弱性は、OpenClawが管理レベルのペアリング要求中に認証を実行しなかったことに起因します。コアの承認機能(src/infra/device-pairing.ts)は、承認者がリクエストを許可するのに必要な権限を持っているかどうかを確認するために、承認者のセキュリティ権限を検査しませんでした。ペアリングリクエストが適切に形成されている限り、承認されていました。

まとめ
#

侵害を想定するという指導は十分に根拠があります。OpenClawを実行している人は、過去1週間のアクティビティログに記載されているすべての/pair承認イベントを慎重に検査する必要があります。それを超えて、ユーザーはOpenClawの使用全体を再考すべきです。

筆者の見解: このツールから得られる効率性は、脅威アクターがネットワーク王国の鍵を取得した場合に簡単に台無しにされる可能性があります。AIエージェントツールの利便性と引き換えに、組織が負うセキュリティリスクの重大さを改めて認識する必要があります。

出典: OpenClaw gives users yet another reason to be freaked out about security

関連記事