調査：Openclawの重大な脆弱性により、管理者権限の完全な乗っ取りが可能に

「信頼できる環境」という誤謬

Web3セキュリティ企業のCertikが3月31日に実施した調査は、オープンソースの人工知能（AI）プラットフォームOpenclawにおけるセキュリティ境界の「体系的な崩壊」を明らかにしました。 GitHubでのスター数が30万を超え急速に台頭したにもかかわらず、このフレームワークはわずか4ヶ月で100件以上のCVEと280件のセキュリティ勧告を蓄積し、研究者らが「境界のない」攻撃対象領域と呼ぶ状態を生み出しています。同レポートは、根本的なアーキテクチャ上の欠陥を指摘しています。Openclawはもともと「信頼されたローカル環境」向けに設計されていました。 しかし、プラットフォームの人気が爆発的に高まるにつれ、ユーザーはインターネットに公開されたサーバー上でOpenclawを展開し始めました。これは、ソフトウェアが対応するよう設計されていなかった移行でした。 調査報告書によると、研究者らはユーザーデータを危険にさらす複数の高リスクな脆弱性を特定しました。その中には、攻撃者が完全な管理者権限を掌握することを可能にする重大な脆弱性「CVE-2026-25253」も含まれています。 ユーザーをだまして悪意のあるリンクを１回クリックさせるだけで、攻撃者は認証トークンを盗み、AIエージェントを乗っ取ることができます。一方、世界規模のスキャン調査では、82カ国にまたがる13万5,000件以上のインターネットに公開されたOpenclawインスタンスが確認されました。その多くはデフォルトで認証が無効化されており、APIキー、チャット履歴、機密の認証情報が平文で漏洩していました。 さらに、ユーザーが共有する「スキル」を保管するプラットフォームのリポジトリはマルウェアに侵入されており、数百の拡張機能に保存されたパスワードや暗号資産ウォレットを盗み出す情報窃取型マルウェアが同梱されていることも判明しました。加えて、攻撃者は現在、電子メールやウェブページ内に悪意のある指示を隠蔽しています。AIエージェントがこれらの文書を処理する際、ユーザーの知らない間にファイルの流出や不正なコマンドの実行を強制される可能性があります。

「Openclawは、大規模言語モデルが孤立したチャットシステムではなくなり、実際の環境内で動作し始めた場合に何が起こるかを示す事例となっています」とPenligentの主任監査担当者は述べています。「これは、従来のソフトウェアの欠陥を、高い権限委譲を持つ実行環境に集約させるものであり、単一のバグによる影響範囲を甚大なものにしてしまいます。」

緩和策と安全対策の推奨事項

これらの調査結果を受け、専門家たちは開発者とエンドユーザーの双方に対し、「セキュリティファースト」のアプローチを強く求めています。開発者に対しては、初期段階から正式な脅威モデルを確立し、厳格なサンドボックス隔離を実施するとともに、AIによって生成されたサブプロセスが低権限かつ不変の権限のみを継承するようにすることを推奨しています。

企業ユーザーには、セキュリティチームがエンドポイント検知・対応（EDR）ツールを活用し、社内ネットワーク内の不正なOpenclawインストールを特定することが求められています。一方、個人ユーザーには、本番データへのアクセス権限を持たないサンドボックス環境でのみツールを実行することが推奨されています。最も重要なのは、既知のリモートコード実行（RCE）の脆弱性を修正するため、バージョン2026.1.29以降に更新することです。

Openclaw開発チームは最近、アップロードされたスキルをスキャンするためにVirusTotalと提携しましたが、Certikの研究者はこれを「万能薬ではない」と警告しています。プラットフォームがより安定したセキュリティ段階に達するまでは、このソフトウェアを本質的に信頼できないものとして扱うことが業界のコンセンサスとなっています。

FAQ ❓

• Openclawとは何ですか？ Openclawは、GitHubで30万以上のスターを獲得するまでに急速に成長したオープンソースのAIフレームワークです。
• なぜリスクがあるのですか？ 信頼できるローカル環境での使用を想定して構築されましたが、現在はオンラインで広く展開されており、重大な脆弱性が露呈しています。
• どのような脅威が存在しますか？重大なCVE、マルウェアに感染した拡張機能、そして82カ国にまたがる13万5,000件以上の公開インスタンスです。
• ユーザーはどのように安全を確保すればよいですか？サンドボックス環境でのみ実行し、バージョン2026.1.29以降に更新してください。