Openclawの重大な脆弱性により完全な管理者権限の乗っ取りが可能に – 注目のビットコインニュース

「信頼された環境」という誤謬

3月31日、Web3セキュリティー企業Certikによる調査が、オープンソースAIプラットフォームであるOpenclawにおけるセキュリティー境界の「システム的崩壊」を明らかにしました。Githubで30万以上のスターを急速に獲得したにもかかわらず、このフレームワークはわずか4か月で100以上のCVEと280件のセキュリティー勧告を蓄積し、研究者が「無制限」と呼ぶ攻撃対象領域を作り出しています。

報告書は根本的なアーキテクチャの欠陥を強調しています：Openclawは元々「信頼されたローカル環境」向けに設計されていました。しかし、プラットフォームの人気が急上昇するにつれ、ユーザー様はインターネットに接続されたサーバーにそれをデプロイし始めました—ソフトウェアが対応するように設計されていなかった移行です。

調査報告書によると、研究者はユーザー様データを危険にさらすいくつかの高リスク障害点を特定しました。これには、攻撃者が完全な管理者権限を奪取することを可能にする重大な脆弱性CVE-2026-25253が含まれます。ユーザー様を騙して悪意のあるリンクを1回クリックさせることで、ハッカーは認証トークンを盗み、AIエージェントを乗っ取ることができます。

一方、グローバルスキャンにより、82か国にわたって135,000以上のインターネットに露出したOpenclawインスタンスが明らかになりました。これらの多くはデフォルトで認証が無効になっており、API キー、チャット履歴、機密認証情報が平文で漏洩していました。報告書はまた、ユーザー様が共有する「スキル」のプラットフォームリポジトリがマルウェアに侵入されており、数百のこれらの拡張機能が保存されたパスワードや暗号資産ウォレットを盗むように設計されたインフォスティーラーをバンドルしていることが判明したと主張しています。

さらに、攻撃者は現在、電子メールやウェブページ内に悪意のある指示を隠しています。AIエージェントがこれらのドキュメントを処理すると、ユーザー様の知識なしにファイルを流出させたり、不正なコマンドを実行したりするよう強制される可能性があります。

「Openclawは、大規模言語モデルが孤立したチャットシステムであることをやめ、実際の環境内で動作し始めたときに何が起こるかのケーススタディになっています」と、Penligentの主任監査人は述べました。「これは古典的なソフトウェア欠陥を高度に委任された権限を持つランタイムに集約し、単一のバグの影響範囲を巨大なものにしています。」

緩和策と安全性に関する推奨事項

これらの調査結果を受けて、専門家は開発者とエンドユーザー様の両方に対して「セキュリティー第一」のアプローチを強く推奨しています。開発者向けには、調査は初日から正式な脅威モデルを確立し、厳格なサンドボックス分離を実施し、AI生成されたサブプロセスが低特権で不変の権限のみを継承することを保証することを推奨しています。

エンタープライズユーザー様向けには、セキュリティーチームがエンドポイント検出および応答(EDR)ツールを使用して、企業ネットワーク内の不正なOpenclawインストールを特定することが推奨されています。一方、個人ユーザー様は、本番データへのアクセスなしでサンドボックス環境でのみツールを実行することが推奨されています。最も重要なことは、ユーザー様が既知のリモートコード実行(RCE)の欠陥を修正するためにバージョン2026.1.29以降に更新する必要があることです。

Openclawの開発者は最近、アップロードされたスキルをスキャンするためにVirustotalと提携しましたが、Certikの研究者はこれが「万能薬ではない」と警告しています。プラットフォームがより安定したセキュリティー段階に達するまで、業界のコンセンサスはソフトウェアを本質的に信頼できないものとして扱うことです。