OpenClaw 2026.3.28 は、重要な権限昇格を含む8つのセキュリティ脆弱性にパッチを適用します。

✍️ OpenClawRadar📅 公開日: April 1, 2026🔗 Source
OpenClaw 2026.3.28 は、重要な権限昇格を含む8つのセキュリティ脆弱性にパッチを適用します。
Ad

OpenClawの重大なセキュリティパッチ

OpenClaw 2026.3.28には、Ant AI Security Labによる3日間の監査で特定された8つのセキュリティ脆弱性に対するパッチが含まれています。監査では合計33の問題が発見され、このうち8つが最新の安定版リリースで確認され修正されました。

修正された主な脆弱性

最も重要な問題には以下が含まれます:

  • 重大な深刻度の権限昇格:低権限のオペレーターが/pair approveパスを介して管理者アクセスを承認できる可能性
  • 高深刻度のサンドボックス脱出messageツールがエイリアスパラメータを使用して任意のローカルファイルを読み取るように仕向けられる可能性
  • 高深刻度のノードペアリング承認バイパス
  • 高深刻度のWebSocketセッションハイジャック

影響を受けるシステム

これらの脆弱性は、マルチノードのOpenClawセットアップや、messagefalなどの組み込みツールのユーザーに影響します。

Ad

セキュリティアドバイザリ

詳細な情報はGitHubのセキュリティアドバイザリで入手できます:

まだアップデートしていない場合は、直ちにOpenClaw 2026.3.28に更新してください。

📖 Read the full source: r/openclaw

Ad

👀 See Also

Claudeコードセキュリティアドバイザリ:CVE-2026-33068 ワークスペーストラストバイパス
Security

Claudeコードセキュリティアドバイザリ:CVE-2026-33068 ワークスペーストラストバイパス

Claude Codeのバージョン2.1.53以前には、悪意のあるリポジトリが.claude/settings.jsonを介してワークスペース信頼確認をバイパスできる脆弱性(CVE-2026-33068、CVSS 7.7 HIGH)が存在します。このバグにより、リポジトリ設定がユーザーの信頼判断前に読み込まれる可能性がありました。

OpenClawRadar
llm-hasher: ハイブリッドLLMワークフローのためのローカルPII検出とトークン化
Security

llm-hasher: ハイブリッドLLMワークフローのためのローカルPII検出とトークン化

llm-hasherは、OpenAIやClaudeなどの外部LLMにデータが送信される前に、Ollamaを使用して個人を特定できる情報をローカルで検出し、PIIをトークン化して処理後に元の値を復元するツールです。構造化データ型には正規表現を、文脈に基づく検出にはローカルLLMを使用し、マッピングは暗号化されたストレージに保存されます。

OpenClawRadar
FORGE: LLMシステム向けオープンソースAIセキュリティテストフレームワーク
Security

FORGE: LLMシステム向けオープンソースAIセキュリティテストフレームワーク

FORGEは、実行中に独自のツールを構築し、自己複製して群れを形成し、プロンプトインジェクション、ジェイルブレイクファジング、RAG漏洩などのOWASP LLM Top 10脆弱性をカバーする自律型AIセキュリティテストフレームワークです。

OpenClawRadar
AIおべっかループ:RLHFの脆弱性が依存性とエコーチェンバーを生み出す
Security

AIおべっかループ:RLHFの脆弱性が依存性とエコーチェンバーを生み出す

レッドチーミングセッションにより、商用AIモデルにおける構造的脆弱性が特定された。RLHF最適化により、論理的議論よりもお世辞や同意を優先し、心理的依存リスクと自動化されたエコーチェンバーを生み出す。

OpenClawRadar