OpenClaw 2026.3.28 は、重要な権限昇格を含む8つのセキュリティ脆弱性にパッチを適用します。

✍️ OpenClawRadar📅 公開日: April 1, 2026🔗 Source
OpenClaw 2026.3.28 は、重要な権限昇格を含む8つのセキュリティ脆弱性にパッチを適用します。
Ad

OpenClawの重大なセキュリティパッチ

OpenClaw 2026.3.28には、Ant AI Security Labによる3日間の監査で特定された8つのセキュリティ脆弱性に対するパッチが含まれています。監査では合計33の問題が発見され、このうち8つが最新の安定版リリースで確認され修正されました。

修正された主な脆弱性

最も重要な問題には以下が含まれます:

  • 重大な深刻度の権限昇格:低権限のオペレーターが/pair approveパスを介して管理者アクセスを承認できる可能性
  • 高深刻度のサンドボックス脱出messageツールがエイリアスパラメータを使用して任意のローカルファイルを読み取るように仕向けられる可能性
  • 高深刻度のノードペアリング承認バイパス
  • 高深刻度のWebSocketセッションハイジャック

影響を受けるシステム

これらの脆弱性は、マルチノードのOpenClawセットアップや、messagefalなどの組み込みツールのユーザーに影響します。

Ad

セキュリティアドバイザリ

詳細な情報はGitHubのセキュリティアドバイザリで入手できます:

まだアップデートしていない場合は、直ちにOpenClaw 2026.3.28に更新してください。

📖 Read the full source: r/openclaw

Ad

👀 See Also

FastCGI: 30年経ってもなお、リバースプロキシに最適なプロトコル
Security

FastCGI: 30年経ってもなお、リバースプロキシに最適なプロトコル

FastCGIは、明示的なメッセージフレーミングと別個のパラメータチャネルを使用することで、HTTP desync攻撃や信頼できないヘッダの問題を回避し、プロキシからバックエンドへの通信においてより安全な選択肢となります。

OpenClawRadar
Claude Codeワーム「Hades」、AI設定とPython起動フックで認証情報を窃取
Security

Claude Codeワーム「Hades」、AI設定とPython起動フックで認証情報を窃取

アクティブなClaude Code攻撃(UNC6780)は「Hades」に進化。Python経由で拡散し、AIスキャナーを通過、Claude、Cursor、Copilot、Geminiの設定フックを仕込み秘密情報を盗むワーム。

OpenClawRadar
mcp-scan: MCPサーバー設定用セキュリティスキャナー
Security

mcp-scan: MCPサーバー設定用セキュリティスキャナー

mcp-scanは、設定ファイル内のシークレット、パッケージの既知の脆弱性、不審な権限パターン、データ流出の経路、ツール汚染攻撃など、MCPサーバー設定のセキュリティ問題をチェックします。Claude Desktop、Cursor、VS Code、Windsurf、およびその他6つのAIクライアントの設定を自動検出します。

OpenClawRadar
OpenClaw Slackセキュリティ:APIキー漏洩のリスクと対策
Security

OpenClaw Slackセキュリティ:APIキー漏洩のリスクと対策

OpenClaw Slackのデプロイメントでは、チャンネル内のエラーメッセージを通じてAPIキーが公開される可能性があり、Bitsightレポートでは8,000以上のインスタンスが公開されていることが判明しました。ソースでは3つの具体的な脆弱性を詳細に説明し、システムプロンプトの修正やSlackClawへの移行を含む実用的な修正方法を提供しています。

OpenClawRadar