OpenClawセキュリティ侵害:CEOのエージェントが2万5千ドルで売却、13万5千インスタンスが暴露

✍️ OpenClawRadar📅 公開日: April 2, 2026🔗 Source
OpenClawセキュリティ侵害:CEOのエージェントが2万5千ドルで売却、13万5千インスタンスが暴露
Ad

OpenClawの重大なセキュリティ脆弱性

英国CEOのOpenClawインスタンスが、2月22日にBreachForumsで「fluffyduck」というハンドル名で掲載され、MoneroまたはLitecoinで25,000ドルで売却されました。購入者は、CEOの完全に訓練された個人AIアシスタント、すべての会話、会社の本番データベース、Telegramトークン、Trading 212 APIキー、アシスタントに開示された家族の個人情報にアクセスできるようになりました。すべてのデータは、~/.openclaw/workspace/ の下にプレーンテキストのMarkdownファイルとして保存されており、保存時の暗号化は一切ありませんでした。

Cato Networksの脅威インテリジェンス担当副社長Etay Maorは、RSAC 2026で次のように述べています:「あなたのAI?今は私のAIです。」SecurityScorecardは、安全でないデフォルト設定で公開インターネット上に公開されている135,000のOpenClawインスタンスを特定しました。

Ad

5分間セキュリティチェック

チェック1: ゲートウェイの公開状況 (30秒)

実行: openclaw config get | grep -E "host|bind"

0.0.0.0 または何も表示されない場合、あなたのエージェントはあなたのIPとポートを見つけた誰でもアクセス可能です。CVE-2026-25253 (CVSS 8.8) により、攻撃者が制御するウェブページ上のJavaScriptがローカルのOpenClawゲートウェイにWebSocket接続を静かに開き、認証トークンを盗んで完全な制御を取得することが可能でした。バージョン2026.1.29で修正済み。

修正:

{ "gateway": { "host": "127.0.0.1" } }

リモートアクセスはSSHトンネルのみ: ssh -L 18789:localhost:18789 user@your-vps

チェック2: 認証ステータス (30秒)

実行: openclaw config get | grep -E "auth|token"

研究者fmdz387は、1月下旬に認証が全くない公開アクセス可能なOpenClawインスタンスをほぼ千件発見しました。彼はAPIキー、Telegramトークン、Slackアカウント、完全なチャット履歴にアクセスし、管理者コマンドを実行できました。

修正: openssl rand -hex 24 でトークンを生成し、gateway.auth.tokenの下に配置します。JSONにハードコードせず、.envファイルに保存します。

チェック3: プレーンテキストAPIキー (30秒)

実行: cat ~/.openclaw/openclaw.json | grep -i "key\|token\|secret"

OpenClawはすべてをプレーンテキストのMarkdownとJSONで保存します。Anthropicキー、OpenAIキー、または任意の認証情報が表示される場合、それらは一度の侵害で危険にさらされます。

修正: 認証情報を.envファイルに移動し、権限をロック: chmod 700 ~/.openclaw/credentials chmod 600 ~/.openclaw/openclaw.json

APIキーが一度でも公開された場合は、今日中にローテーションしてください。

チェック4: インストール済みスキル (60秒)

実行: openclaw skills list

ClawHubで820以上の悪意のあるスキルが確認されています。ClawHavocキャンペーンでは、外部サーバーに.envファイルを静かに流出させる数百のプロフェッショナルに見えるスキルが仕込まれました。ピーク時には、ClawHub上の約12個に1つのスキルが侵害されていました。

ソースコードを個人的にレビューしていないすべてのスキルについて: 今すぐ読むか、openclaw skills uninstall <skill-name> で削除してください。

インストールを制限:

{ "skills": { "allowSources": ["clawhub:verified"] } }

チェック5: バージョンステータス (30秒)

実行: openclaw --version

OpenClawには自動更新メカニズムがありません。3月中旬現在、GitHub GHSAページに255以上のセキュリティ勧告が公開されています。

更新: npm install -g openclaw@latest openclaw doctor --deep

出力を注意深く読んでください。

📖 Read the full source: r/openclaw

Ad

👀 See Also

OpenClaw 2026.3.28 は、重要な権限昇格を含む8つのセキュリティ脆弱性にパッチを適用します。
Security

OpenClaw 2026.3.28 は、重要な権限昇格を含む8つのセキュリティ脆弱性にパッチを適用します。

OpenClaw 2026.3.28は、Ant AI Security Labによって発見された8つのセキュリティ脆弱性にパッチを適用しました。これには、/pair approveを介した重大な権限昇格と、メッセージツールにおける高深刻度のサンドボックス脱出が含まれます。

OpenClawRadar
Claudeを使用してOpenClawのセットアップを監査すると、セキュリティ上の問題が明らかになります
Security

Claudeを使用してOpenClawのセットアップを監査すると、セキュリティ上の問題が明らかになります

ある開発者がClaudeを利用してOpenClawのインストールをレビューしたところ、ボットがAPIキーをメモリ内やJSONファイルに平文で書き込んでいることや、その他のセキュリティ上の懸念を発見しました。

OpenClawRadar
Bitwarden Agent Access SDKは、安全な認証情報の注入のためにOneCLIと統合します。
Security

Bitwarden Agent Access SDKは、安全な認証情報の注入のためにOneCLIと統合します。

Bitwardenの新しいAgent Access SDKは、AIエージェントが人間の承認を得てBitwardenのボールトから認証情報にアクセスできるようにし、OneCLIはネットワーク層で認証情報を注入し、生の値をエージェントに公開しないゲートウェイとして機能します。

OpenClawRadar
MCPパッケージセキュリティスキャンが、確認なしで広範な破壊的機能を明らかにする
Security

MCPパッケージセキュリティスキャンが、確認なしで広範な破壊的機能を明らかにする

npm上の2,386のMCPパッケージをセキュリティスキャンした結果、63.5%がファイル削除やデータベース削除などの破壊的操作を人間の確認なしに公開していることが判明しました。研究者は全体の49%にセキュリティ問題があり、402件の重大度クリティカル、240件の重大度高の脆弱性を発見しました。

OpenClawRadar