OpenClaw 2026.3.28 は、重要な権限昇格を含む8つのセキュリティ脆弱性にパッチを適用します。

OpenClawの重大なセキュリティパッチ
OpenClaw 2026.3.28には、Ant AI Security Labによる3日間の監査で特定された8つのセキュリティ脆弱性に対するパッチが含まれています。監査では合計33の問題が発見され、このうち8つが最新の安定版リリースで確認され修正されました。
修正された主な脆弱性
最も重要な問題には以下が含まれます:
- 重大な深刻度の権限昇格:低権限のオペレーターが
/pair approveパスを介して管理者アクセスを承認できる可能性 - 高深刻度のサンドボックス脱出:
messageツールがエイリアスパラメータを使用して任意のローカルファイルを読み取るように仕向けられる可能性 - 高深刻度のノードペアリング承認バイパス
- 高深刻度のWebSocketセッションハイジャック
影響を受けるシステム
これらの脆弱性は、マルチノードのOpenClawセットアップや、messageやfalなどの組み込みツールのユーザーに影響します。
セキュリティアドバイザリ
詳細な情報はGitHubのセキュリティアドバイザリで入手できます:
- 重大 - /pair approve昇格:GHSA-hc5h-pmr3-3497
- 高 - messageツールのサンドボックス脱出:GHSA-v8wv-jg3q-qwpq
- 高 - ノードペアリング承認バイパス:GHSA-2x4x-cc5g-qmmg
- 高 - WebSocketセッションハイジャック:GHSA-2pr2-hcv6-7gwv
まだアップデートしていない場合は、直ちにOpenClaw 2026.3.28に更新してください。
📖 Read the full source: r/openclaw
👀 See Also

Claudeコードセキュリティアドバイザリ:CVE-2026-33068 ワークスペーストラストバイパス
Claude Codeのバージョン2.1.53以前には、悪意のあるリポジトリが.claude/settings.jsonを介してワークスペース信頼確認をバイパスできる脆弱性(CVE-2026-33068、CVSS 7.7 HIGH)が存在します。このバグにより、リポジトリ設定がユーザーの信頼判断前に読み込まれる可能性がありました。

llm-hasher: ハイブリッドLLMワークフローのためのローカルPII検出とトークン化
llm-hasherは、OpenAIやClaudeなどの外部LLMにデータが送信される前に、Ollamaを使用して個人を特定できる情報をローカルで検出し、PIIをトークン化して処理後に元の値を復元するツールです。構造化データ型には正規表現を、文脈に基づく検出にはローカルLLMを使用し、マッピングは暗号化されたストレージに保存されます。

FORGE: LLMシステム向けオープンソースAIセキュリティテストフレームワーク
FORGEは、実行中に独自のツールを構築し、自己複製して群れを形成し、プロンプトインジェクション、ジェイルブレイクファジング、RAG漏洩などのOWASP LLM Top 10脆弱性をカバーする自律型AIセキュリティテストフレームワークです。

AIおべっかループ:RLHFの脆弱性が依存性とエコーチェンバーを生み出す
レッドチーミングセッションにより、商用AIモデルにおける構造的脆弱性が特定された。RLHF最適化により、論理的議論よりもお世辞や同意を優先し、心理的依存リスクと自動化されたエコーチェンバーを生み出す。