人気AI操作ツール「OpenClaw」に深刻な脆弱性、管理者権限を不正取得可能に

投稿日: 投稿者: Takahashi_Akihiro

AI自動操作ツール「OpenClaw」に深刻な脆弱性が発見され、最低権限のユーザーが管理者権限を不正取得できる状態でした。パッチは公開されましたが、数千のシステムが既に侵害された可能性があります。専門家は使用の再考を推奨しています。

人気AI操作ツール「OpenClaw」に深刻な脆弱性、管理者権限を不正取得可能に

2026年4月、開発者コミュニティで急速に普及しているAI自動操作ツール「OpenClaw」に、深刻なセキュリティ脆弱性が発見されました。この脆弱性により、最も低い権限しか持たないユーザーでも、管理者権限を不正に取得できる状態になっていました。OpenClawは、ユーザーのコンピュータを制御し、ファイル整理や調査、オンラインショッピングなどを自動で行うツールです。2025年11月に公開されて以来、Githubで34万7000のスター(人気の指標)を獲得するほど注目を集めていました。しかし、その便利さの裏で、セキュリティ専門家は1か月以上前から危険性を警告していました。今回発見された脆弱性は、その警告が正しかったことを証明する形となりました。この問題は既に修正されましたが、数千のシステムが既に侵害されている可能性があり、専門家はOpenClawの使用そのものを再考するよう呼びかけています。

発見された脆弱性の詳細

OpenClawの開発チームは今週初め、3つの重大な脆弱性に対するセキュリティパッチを公開しました。その中でも特に深刻なのが「CVE-2026-33579」と呼ばれる脆弱性です。この脆弱性の深刻度は、評価基準によって10点満点中8.1点から9.8点と評価されています。これは非常に高い数値です。

この脆弱性の問題点は、「ペアリング権限」という最も低いレベルの権限しか持たないユーザーが、管理者権限を取得できてしまうことです。ペアリング権限とは、デバイスをOpenClawに接続するための最小限の権限のことです。通常、この権限では限られた操作しかできません。しかし、この脆弱性を悪用すると、攻撃者は管理者権限を持つデバイスとして承認されてしまいます。

管理者権限を取得した攻撃者は、そのOpenClawインスタンス(実行環境)が持つすべてのリソースを制御できます。つまり、OpenClawがアクセスできるすべてのファイル、アカウント、サービスに攻撃者もアクセスできるようになるのです。

攻撃の実行方法と影響範囲

AIアプリ開発企業Blinkの研究者によると、この攻撃は驚くほど簡単に実行できます。攻撃者は既にペアリング権限を持っている状態で、管理者権限を要求するデバイスペアリングリクエストを送信します。本来であれば、このリクエストは適切な権限を持つ人によって承認される必要があります。しかし、この脆弱性により、攻撃者自身がそのリクエストを承認できてしまうのです。

承認が完了すると、攻撃者のデバイスは完全な管理者アクセス権を持ちます。追加の攻撃手法は必要ありません。ユーザーの操作も不要です。最初のペアリング以降は、すべて自動的に進行します。

企業全体でOpenClawをAIエージェントプラットフォームとして運用している組織では、影響は特に深刻です。侵害された管理者デバイスは、接続されているすべてのデータソースを読み取り、エージェントのスキル環境に保存された認証情報を盗み出し、任意のツール呼び出しを実行し、他の接続されたサービスに侵入できます。Blinkの研究者は「これを『権限昇格』と呼ぶのは控えめすぎる。結果は完全なインスタンス乗っ取りだ」と述べています。

背景と経緯

OpenClawは2025年11月に公開されて以来、開発者コミュニティで急速に人気を集めました。このツールは、大規模言語モデル(LLM)を使用して、ユーザーのコンピュータを制御し、様々なタスクを自動化します。ファイルの整理、調査、オンラインショッピングなど、幅広い作業を支援します。

しかし、その便利さと引き換えに、OpenClawは非常に広範なアクセス権限を必要とします。Telegram、Discord、Slack、ローカルファイル、共有ネットワークファイル、各種アカウント、ログインセッションなど、多くのリソースへのアクセスが必要です。OpenClawは、ユーザーとまったく同じ権限と能力で動作するよう設計されています。

セキュリティ専門家は、OpenClawが人気になった当初から警告を発していました。LLMは本質的に信頼性が低く、基本的なミスを犯しやすいという特性があります。そのようなシステムに、これほど多くの機密リソースへのアクセスを与え、自律的に動作させることの危険性が指摘されていました。

2026年初頭には、Meta社の幹部が自分のチームに対し、業務用ノートパソコンでOpenClawを使用しないよう指示し、違反した場合は解雇すると警告しました。この幹部は、ツールの予測不可能性が、本来安全な環境での侵害につながる可能性があると述べました。他の企業の管理者も同様の指示を出しています。

パッチ公開の問題点

今回の脆弱性への対応には、タイミングの問題もありました。パッチは日曜日に公開されましたが、正式なCVE(共通脆弱性識別子)リストへの登録は火曜日まで行われませんでした。CVEとは、セキュリティ脆弱性を識別するための標準的な番号システムです。

これは、警戒している攻撃者が、ほとんどのOpenClawユーザーがパッチを適用する必要性を知る前に、2日間の猶予期間を得たことを意味します。この期間中に、攻撃者は脆弱性を悪用できた可能性があります。

さらに懸念されるのは、インターネットに公開されているOpenClawインスタンスの状況です。Blinkが2026年初頭に実施したスキャンでは、13万5000のOpenClawインスタンスが発見されました。そのうち63パーセントが認証なしで動作していました。認証なしとは、ユーザー名やパスワードなしでアクセスできる状態のことです。

これらの認証なしのシステムでは、攻撃者は既にペアリング権限を持っているのと同じ状態です。つまり、CVE-2026-33579を悪用するために必要な前提条件が、最初から満たされていたのです。Blinkは「これらのシステムでは、ネットワーク訪問者は誰でもペアリングアクセスを要求でき、ユーザー名やパスワードを提供することなくペアリング権限を取得できる。CVE-2026-33579の悪用を遅らせるはずの認証ゲートが存在しない」と述べています。

脆弱性の技術的な原因

この脆弱性の根本原因は、OpenClawが管理者レベルのペアリング要求時に認証を実行しなかったことにあります。承認機能のコア部分(src/infra/device-pairing.tsというファイル)は、承認する側のセキュリティ権限を確認していませんでした。つまり、承認者がその要求を許可する権限を持っているかどうかをチェックしていなかったのです。

ペアリング要求が適切な形式で作成されていれば、それだけで承認されてしまいました。これは、銀行の窓口で、身分証明書を確認せずに大金の引き出しを許可するようなものです。要求の形式が正しければ、誰が要求しているかに関係なく承認されてしまう状態でした。

できること・できないこと

現在、この脆弱性は修正されており、最新版のOpenClawでは適切な認証チェックが実装されています。パッチを適用したシステムでは、管理者レベルのペアリング要求は、適切な権限を持つユーザーによってのみ承認できるようになりました。

しかし、既に侵害されたシステムについては、パッチを適用しても攻撃者のアクセスは自動的には削除されません。攻撃者が既に管理者権限を取得している場合、その権限は有効なままです。システム管理者は、過去のペアリング承認イベントを手動で確認し、不審な承認がないかチェックする必要があります。

OpenClawを使用している組織は、過去1週間のアクティビティログで、すべてのペアリング承認イベント(/pair approval events)を注意深く調査することが推奨されています。不審な承認が見つかった場合は、そのデバイスの権限を取り消し、関連するパスワードや認証情報を変更する必要があります。

一方で、過去に侵害されたかどうかを完全に確認することは困難です。攻撃者が静かに侵入し、ログを改ざんしている可能性もあります。そのため、専門家は「侵害されたと仮定して対応する」ことを推奨しています。

私たちへの影響

このニュースは、OpenClawを使用している個人や組織に直接的な影響を与えます。特に、業務環境でOpenClawを使用している場合、機密情報や企業データが既に漏洩している可能性があります。

短期的な影響としては、すべてのOpenClawユーザーは直ちにパッチを適用し、過去のアクティビティログを確認する必要があります。不審な活動が見つかった場合は、関連するすべてのパスワードと認証情報を変更し、セキュリティチームに報告すべきです。認証なしでOpenClawを運用していた組織は、特に注意が必要です。

中長期的な影響としては、AI自動操作ツール全般に対する信頼性の見直しが進むと考えられます。OpenClawのような強力なツールは、便利さと引き換えに大きなセキュリティリスクを伴います。企業は、このようなツールの使用ポリシーを再検討し、より厳格な管理体制を導入する必要があるでしょう。

ただし、OpenClawの開発チームは迅速にパッチを公開し、問題に対応しました。今後、同様の脆弱性を防ぐための設計改善が期待されます。しかし、LLMベースのツールが本質的に持つ予測不可能性と、広範なアクセス権限の組み合わせは、根本的なリスクとして残ります。セキュリティ専門家の助言通り、OpenClawの使用そのものを再考することが賢明かもしれません。効率性の向上が、ネットワーク全体の侵害というリスクに見合うかどうか、慎重に判断する必要があります。

出典:OpenClaw gives users yet another reason to be freaked out about security(arstechnica.com)

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です