OpenClaw 2026.3.28 は、重要な権限昇格を含む8つのセキュリティ脆弱性にパッチを適用します。

OpenClawの重大なセキュリティパッチ
OpenClaw 2026.3.28には、Ant AI Security Labによる3日間の監査で特定された8つのセキュリティ脆弱性に対するパッチが含まれています。監査では合計33の問題が発見され、このうち8つが最新の安定版リリースで確認され修正されました。
修正された主な脆弱性
最も重要な問題には以下が含まれます:
- 重大な深刻度の権限昇格:低権限のオペレーターが
/pair approveパスを介して管理者アクセスを承認できる可能性 - 高深刻度のサンドボックス脱出:
messageツールがエイリアスパラメータを使用して任意のローカルファイルを読み取るように仕向けられる可能性 - 高深刻度のノードペアリング承認バイパス
- 高深刻度のWebSocketセッションハイジャック
影響を受けるシステム
これらの脆弱性は、マルチノードのOpenClawセットアップや、messageやfalなどの組み込みツールのユーザーに影響します。
セキュリティアドバイザリ
詳細な情報はGitHubのセキュリティアドバイザリで入手できます:
- 重大 - /pair approve昇格:GHSA-hc5h-pmr3-3497
- 高 - messageツールのサンドボックス脱出:GHSA-v8wv-jg3q-qwpq
- 高 - ノードペアリング承認バイパス:GHSA-2x4x-cc5g-qmmg
- 高 - WebSocketセッションハイジャック:GHSA-2pr2-hcv6-7gwv
まだアップデートしていない場合は、直ちにOpenClaw 2026.3.28に更新してください。
📖 Read the full source: r/openclaw
👀 See Also

FastCGI: 30年経ってもなお、リバースプロキシに最適なプロトコル
FastCGIは、明示的なメッセージフレーミングと別個のパラメータチャネルを使用することで、HTTP desync攻撃や信頼できないヘッダの問題を回避し、プロキシからバックエンドへの通信においてより安全な選択肢となります。

Claude Codeワーム「Hades」、AI設定とPython起動フックで認証情報を窃取
アクティブなClaude Code攻撃(UNC6780)は「Hades」に進化。Python経由で拡散し、AIスキャナーを通過、Claude、Cursor、Copilot、Geminiの設定フックを仕込み秘密情報を盗むワーム。

mcp-scan: MCPサーバー設定用セキュリティスキャナー
mcp-scanは、設定ファイル内のシークレット、パッケージの既知の脆弱性、不審な権限パターン、データ流出の経路、ツール汚染攻撃など、MCPサーバー設定のセキュリティ問題をチェックします。Claude Desktop、Cursor、VS Code、Windsurf、およびその他6つのAIクライアントの設定を自動検出します。

OpenClaw Slackセキュリティ:APIキー漏洩のリスクと対策
OpenClaw Slackのデプロイメントでは、チャンネル内のエラーメッセージを通じてAPIキーが公開される可能性があり、Bitsightレポートでは8,000以上のインスタンスが公開されていることが判明しました。ソースでは3つの具体的な脆弱性を詳細に説明し、システムプロンプトの修正やSlackClawへの移行を含む実用的な修正方法を提供しています。