OpenClawの「常に許可」機能のセキュリティ脆弱性とより安全な代替案

OpenClaw承認システムの脆弱性
OpenClawの承認システムは、コマンドを実行する前にユーザーに「これを実行してもよいですか?」と尋ね、一度だけ承認または常に承認するオプションを提供します。「常に許可」機能は、最近の2つのCVEを通じてセキュリティリスクとして特定されました。
具体的なセキュリティ問題
CVE-2026-29607: 「常に許可」承認は、内部コマンドではなくラッパーコマンドにバインドされます。time npm testを「常に」承認すると、システムは「常にtimeを許可」と記憶します。その後、エージェント(またはプロンプトインジェクションを通じて)がtime rm -rf /を実行すると、ラッパーコマンドを承認済みのため再プロンプトなしで実行されます。
CVE-2026-28460: この脆弱性は、シェルの行継続文字を使用して許可リスト全体をバイパスします。手法は異なりますが結果は同じです:ユーザーが保護されていると思っていた承認チェックなしでコマンドが実行されます。
両方の脆弱性はOpenClaw 3.12+で修正されていますが、より深い問題は残っています。
行動的セキュリティ問題
修正後も、「常に許可」というメンタルモデルはユーザーに注意を払うのをやめるよう訓練します。最初はユーザーはすべての承認プロンプトを注意深く読みます。3週目までには、プロンプトが煩わしくなりエージェントへの信頼が築かれるため、すべてに「常に」をクリックするようになります。6週目までに、ユーザーは尋ねられてもリストできない20以上の「常に」ルールを蓄積します。
推奨される代替アプローチ
ソース著者は推奨します:ファイルを変更する、メッセージを送信する、シェルコマンドを実行するものについては「常に許可」を使用しない。代わりに、SOUL.mdファイルに明示的なガードレールを追加してください:
「ファイルを変更する、通信を送信する、シェルコマンドを実行するアクションについては:実行予定の内容を正確に表示し、明示的なOKを待つ。以前の承認は引き継がない。毎回尋ねる。これは交渉の余地がない。」
このアプローチは、Telegramなどのインターフェースで「OK」をタップする回数が増えることを意味しますが、プロンプトインジェクションやエージェント自身の誤認を通じて、古い承認の下で破壊的なアクションを実行することを防ぎます。
重要なポイント
承認システムは利便性の機能であり、セキュリティ境界として設計されたものではありません。それに応じて扱ってください。
📖 Read the full source: r/openclaw
👀 See Also

クラウバンドの理解:OpenClawエージェント向けセキュリティバンド
ClawBandsは、OpenClawエージェントのセキュリティ強化機能を提供し、アクセス制御や安全なデータ処理に焦点を当てている可能性があります。

ワイドオープンクロー:緩いDiscordボットの権限によるセキュリティリスク
セキュリティ研究者が、ユーザーが過剰な権限でDiscordサーバーにAIアシスタントボットを追加した際にOpenClawがどのように悪用されるかを実証し、セキュリティ対策を考慮せずにroot/管理者アクセスを許可するユーザーを標的としています。

jqwik v1.10.0がAIエージェントに使用されるとコードを削除するプロンプトインジェクションをこっそり導入
Johannes Linkは、jqwik v1.10.0に隠し指示を追加しました。これはAIコーディングエージェントに対し、すべてのjqwikのテストとコードを削除するよう指示するもので、ANSIエスケープで隠蔽されています。Claudeは正しくフラグを立てますが、人間のユーザーはそうとは限りません。

隠れた音声信号で音声AIシステムを79~96%の成功率で乗っ取る
研究によると、知覚できないオーディオクリップによってLALMにWeb検索、ファイルダウンロード、メール流出などの不正なコマンドを実行させることが可能で、MistralやMicrosoftサービスを含む13のモデルで79〜96%の成功率を示しています。