セキュリティ監査により、OpenClawスキルエコシステムに脆弱性が発見されました
OpenClawのセキュリティ脆弱性が発見される
OpenClawのコードベースとスキルライブラリに対する詳細なセキュリティ監査により、本番環境でシステムを運用する際に開発者が注意すべき複数のセキュリティ上の懸念が明らかになりました。
文書化されたCVEと悪用事例
監査では、以下のような8つの文書化された共通脆弱性識別子(CVE)が特定されました:
- 未審査のスキルによる任意コード実行
- スキルインジェクションによる認証情報窃取
- 信頼できない入力からのプロンプト抽出
脆弱性開示リポジトリによると、これらの脆弱性の一部は実際に悪用されていました。
スキルライブラリのセキュリティ問題
共有スキルリポジトリには900以上のスキルが含まれています。静的解析により以下の点が明らかになりました:
- 約15%が不審なネットワーク動作(不明なドメインへの通信)を示した
- 人気スキルにおける依存関係混同攻撃
- 環境変数を静かに外部送信するスキル
このパターンはOpenClawに特有のものではなく、未審査のコードを実行するプラグイン/スキルシステムでは一般的ですが、「安全なセルフホスト」という位置付けを考えると、監査担当者は驚きを表明しています。
代替実装アプローチ
監査担当者は、qwen2.5:14bを使用してOllama上でローカルに動作する最小限のRustベースのランタイムに移行しました。このアプローチでは、プラグインエコシステムと共有スキルを排除し、ユースケースに必要な基本機能のみに焦点を当てています。
新しいアーキテクチャでは、タスクランナーが重い処理をClaude Codeに委譲しつつ、メインループから分離しています。この分離により、永続的なコンパニオンエージェントが開発者の制御外の攻撃対象領域にさらされるのを防ぎます。
移行には基本的な機能の実装に約48時間を要し、主な課題は「永続的コンパニオン」と「オンデマンドツール」というパラダイムのためのアーキテクチャの再考でした。
セキュリティ推奨事項
本番環境でOpenClawを運用する開発者向け:
- スキルを徹底的に監査する
- スキル実行権限を厳格に制限する
- 信頼できないスキルは、エージェントが実行できるあらゆるアクションを実行できると想定する
- 機能の豊富さよりも脅威モデリングを優先する
📖 Read the full source: r/LocalLLaMA
👀 See Also
OpenClawセキュリティ監査コマンドプロンプト 平易な英語の脆弱性レポート
RedditユーザーがOpenClaw CLI用のプロンプトを共有しました。このプロンプトは詳細なセキュリティ監査を実行し、何が公開されているか、深刻度スコア、具体的な設定修正方法を平易な英語で出力するものです。
AIを人間より信頼しないでください — 同じアクセス制御を適用しよう
Redditの議論では、AIコーディングエージェントをジュニア開発者と同じように扱うべきだと言われています。本番環境へのアクセス禁止、直接書き込み禁止、CI/CDパイプラインと役割ベースの権限の適用が求められています。
LLMエージェントにおけるツール権限注入:ツール出力がシステム意図を上書きする場合
研究者がローカルLLMエージェントラボを構築し、「ツール権限インジェクション」を実証しました。これは、AIエージェントにおいてツールの出力がシステムの意図を上書きするシナリオです。
AIセキュリティ研究者の方々:データ提供オプトイン設定により、0-day脆弱性が漏洩する可能性があります
LLMインターフェースの「モデルを皆のために改善する」トグルは、深刻なレッドチーミング研究を自動的に収集し、脆弱性の概念をベンダーのセキュリティチームや、あなたが発表する前に学術論文に送信する可能性があります。本格的なセキュリティ研究を行う前にデータ共有を無効にしてください。