セキュリティ監査により、OpenClawスキルエコシステムに脆弱性が発見されました

OpenClawのセキュリティ脆弱性が発見される
OpenClawのコードベースとスキルライブラリに対する詳細なセキュリティ監査により、本番環境でシステムを運用する際に開発者が注意すべき複数のセキュリティ上の懸念が明らかになりました。
文書化されたCVEと悪用事例
監査では、以下のような8つの文書化された共通脆弱性識別子(CVE)が特定されました:
- 未審査のスキルによる任意コード実行
- スキルインジェクションによる認証情報窃取
- 信頼できない入力からのプロンプト抽出
脆弱性開示リポジトリによると、これらの脆弱性の一部は実際に悪用されていました。
スキルライブラリのセキュリティ問題
共有スキルリポジトリには900以上のスキルが含まれています。静的解析により以下の点が明らかになりました:
- 約15%が不審なネットワーク動作(不明なドメインへの通信)を示した
- 人気スキルにおける依存関係混同攻撃
- 環境変数を静かに外部送信するスキル
このパターンはOpenClawに特有のものではなく、未審査のコードを実行するプラグイン/スキルシステムでは一般的ですが、「安全なセルフホスト」という位置付けを考えると、監査担当者は驚きを表明しています。
代替実装アプローチ
監査担当者は、qwen2.5:14bを使用してOllama上でローカルに動作する最小限のRustベースのランタイムに移行しました。このアプローチでは、プラグインエコシステムと共有スキルを排除し、ユースケースに必要な基本機能のみに焦点を当てています。
新しいアーキテクチャでは、タスクランナーが重い処理をClaude Codeに委譲しつつ、メインループから分離しています。この分離により、永続的なコンパニオンエージェントが開発者の制御外の攻撃対象領域にさらされるのを防ぎます。
移行には基本的な機能の実装に約48時間を要し、主な課題は「永続的コンパニオン」と「オンデマンドツール」というパラダイムのためのアーキテクチャの再考でした。
セキュリティ推奨事項
本番環境でOpenClawを運用する開発者向け:
- スキルを徹底的に監査する
- スキル実行権限を厳格に制限する
- 信頼できないスキルは、エージェントが実行できるあらゆるアクションを実行できると想定する
- 機能の豊富さよりも脅威モデリングを優先する
📖 Read the full source: r/LocalLLaMA
👀 See Also

Microsoftハッキング:GitHubリポジトリに仕込まれたマルウェアがClaudeとGeminiユーザーを標的に
マイクロソフトは、ハッカーがAIコーディングエージェント(Claude CodeやGemini CLIなど)を標的に、認証情報を盗むマルウェアを仕込んだため、70以上のGitHubリポジトリを閉鎖した。

Google、犯罪ハッカーがAIを利用してゼロデイ脆弱性を発見したと発表
Googleは、攻撃者がAIエージェントを使い、これまで知られていなかったソフトウェアの脆弱性を発見・悪用したことを明らかにした。これは、実環境でAIが主導するゼロデイ発見が確認された初の事例となる。

Bitwarden Agent Access SDKは、安全な認証情報の注入のためにOneCLIと統合します。
Bitwardenの新しいAgent Access SDKは、AIエージェントが人間の承認を得てBitwardenのボールトから認証情報にアクセスできるようにし、OneCLIはネットワーク層で認証情報を注入し、生の値をエージェントに公開しないゲートウェイとして機能します。

クロードコードが23年前のLinuxカーネル脆弱性を発見
Anthropicの研究者ニコラス・カリーニは、Claude Codeを使用してLinuxカーネル内の複数のリモートで悪用可能なヒープバッファオーバーフローを発見しました。その中には23年間隠れていた脆弱性も含まれています。AIはカーネルソースツリー全体をスキャンし、最小限の監視でこれらのバグを見つけ出しました。