OpenClaw 2026.3.28 は、重要な権限昇格を含む8つのセキュリティ脆弱性にパッチを適用します。
OpenClawの重大なセキュリティパッチ
OpenClaw 2026.3.28には、Ant AI Security Labによる3日間の監査で特定された8つのセキュリティ脆弱性に対するパッチが含まれています。監査では合計33の問題が発見され、このうち8つが最新の安定版リリースで確認され修正されました。
修正された主な脆弱性
最も重要な問題には以下が含まれます:
- 重大な深刻度の権限昇格:低権限のオペレーターが
/pair approveパスを介して管理者アクセスを承認できる可能性 - 高深刻度のサンドボックス脱出:
messageツールがエイリアスパラメータを使用して任意のローカルファイルを読み取るように仕向けられる可能性 - 高深刻度のノードペアリング承認バイパス
- 高深刻度のWebSocketセッションハイジャック
影響を受けるシステム
これらの脆弱性は、マルチノードのOpenClawセットアップや、messageやfalなどの組み込みツールのユーザーに影響します。
セキュリティアドバイザリ
詳細な情報はGitHubのセキュリティアドバイザリで入手できます:
- 重大 - /pair approve昇格:GHSA-hc5h-pmr3-3497
- 高 - messageツールのサンドボックス脱出:GHSA-v8wv-jg3q-qwpq
- 高 - ノードペアリング承認バイパス:GHSA-2x4x-cc5g-qmmg
- 高 - WebSocketセッションハイジャック:GHSA-2pr2-hcv6-7gwv
まだアップデートしていない場合は、直ちにOpenClaw 2026.3.28に更新してください。
📖 Read the full source: r/openclaw
👀 See Also
わずか2分でNonoカーネルベースの分離によりOpenClawを安全に保護
OpenClawユーザーは、Nonoカーネルベースの分離技術により、わずか2分で実現できる迅速かつ効果的なソリューションのおかげで、パフォーマンスを損なうことなく強化されたセキュリティを楽しむことができます。
BlindKey: AIエージェント向けブラインド認証情報インジェクション
BlindKeyは、暗号化されたボールトトークンとローカルプロキシを使用して、AIエージェントが平文のAPI認証情報にアクセスするのを防ぐセキュリティツールです。エージェントはbk://stripeのようなトークンを参照し、プロキシがリクエスト時に実際の認証情報を注入します。
Clawndom: Claudeコードの脆弱なnpmパッケージをブロックするセキュリティフック
開発者が、Claude Code向けのオープンソースフック「Clawndom」を構築しました。これは、インストール前にnpmパッケージをOSV.dev脆弱性データベースと照合し、既知の脆弱なパッケージをブロックしながらエージェントの自律性を維持します。
AIシステムが12のOpenSSLゼロデイ脆弱性を発見、AIスパムによりCurlがバグ報奨金プログラムを中止
AISLEのAIシステムは、OpenSSLの最近のセキュリティリリースにおける12件のゼロデイ脆弱性をすべて発見し、AIベースのサイバーセキュリティの初の大規模実証となりました。一方、curlはAI生成のスパム提出によりバグ報奨金プログラムを中止しました。