セキュリティ専門家は 1 か月以上前から、開発コミュニティを席巻しているバイラル AI エージェント ツールである OpenClaw を使用する危険性について警告してきました。最近パッチが適用された脆弱性は、その理由についての客観的な教訓を提供します。
11 月に導入され、現在 Github 上に 347,000 件のスターが付けられている OpenClaw は、ユーザーのコンピューターを制御し、他のアプリやプラットフォームと対話して、ファイルの整理、オンラインでの調査、ショッピングなどのさまざまなタスクを支援します。役に立つためには、できるだけ多くのリソースに大量にアクセスする必要があります。 Telegram、Discord、Slack、ローカルおよび共有ネットワーク ファイル、アカウント、ログイン セッションは、提供される機能のほんの一部です。アクセスが許可されると、OpenClaw は、同じ広範な機能と権限を使用して、ユーザーとまったく同じように動作するように設計されています。
深刻な影響
今週初め、OpenClaw 開発者は 3 つの重大度の高い脆弱性に対するセキュリティ パッチをリリースしました。特に CVE-2026-33579 の重大度評価は、使用される指標に応じて 10 点満点中 8.1 ~ 9.8 と評価されていますが、それには十分な理由があります。バインド権限 (最下位レベルの権限) を持つすべてのユーザーが管理ステータスを取得できるようにします。これにより、攻撃者は OpenClaw がインスタンス化するリソースを制御できるようになります。
「現実的な影響は深刻だ」とAIアプリ開発会社Blinkの研究者らは書いている。 「OpenClaw 実装で最も低い権限であるオペレーター ピアリング スコープをすでに保持している攻撃者は、operator.admin スコープを要求するデバイスからのペアリング リクエストをサイレントに承認できます。その承認が承認されると、攻撃デバイスは OpenClaw インスタンスへの完全な管理アクセス権を持ちます。二次的なエクスプロイトは必要ありません。最初のペアリング ステップを超えるユーザーの操作は必要ありません。」
投稿は続けて、「全社規模の AI エージェント プラットフォームとして OpenClaw を実行している組織の場合、侵害された Operator.admin デバイスは、接続されているすべてのデータ ソースを読み取り、エージェントのスキル環境に保存されている資格情報をフィルタリングし、任意のツール呼び出しを実行し、接続されている他のサービスに切り替えることができます。『権限昇格』という言葉がこれを強調しています。結果は完全なインスタンスの乗っ取りです。」
