OpenClawセキュリティ侵害:CEOのエージェントが2万5千ドルで売却、13万5千インスタンスが暴露
OpenClawの重大なセキュリティ脆弱性
英国CEOのOpenClawインスタンスが、2月22日にBreachForumsで「fluffyduck」というハンドル名で掲載され、MoneroまたはLitecoinで25,000ドルで売却されました。購入者は、CEOの完全に訓練された個人AIアシスタント、すべての会話、会社の本番データベース、Telegramトークン、Trading 212 APIキー、アシスタントに開示された家族の個人情報にアクセスできるようになりました。すべてのデータは、~/.openclaw/workspace/ の下にプレーンテキストのMarkdownファイルとして保存されており、保存時の暗号化は一切ありませんでした。
Cato Networksの脅威インテリジェンス担当副社長Etay Maorは、RSAC 2026で次のように述べています:「あなたのAI?今は私のAIです。」SecurityScorecardは、安全でないデフォルト設定で公開インターネット上に公開されている135,000のOpenClawインスタンスを特定しました。
5分間セキュリティチェック
チェック1: ゲートウェイの公開状況 (30秒)
実行: openclaw config get | grep -E "host|bind"
0.0.0.0 または何も表示されない場合、あなたのエージェントはあなたのIPとポートを見つけた誰でもアクセス可能です。CVE-2026-25253 (CVSS 8.8) により、攻撃者が制御するウェブページ上のJavaScriptがローカルのOpenClawゲートウェイにWebSocket接続を静かに開き、認証トークンを盗んで完全な制御を取得することが可能でした。バージョン2026.1.29で修正済み。
修正:
{ "gateway": { "host": "127.0.0.1" } }リモートアクセスはSSHトンネルのみ: ssh -L 18789:localhost:18789 user@your-vps
チェック2: 認証ステータス (30秒)
実行: openclaw config get | grep -E "auth|token"
研究者fmdz387は、1月下旬に認証が全くない公開アクセス可能なOpenClawインスタンスをほぼ千件発見しました。彼はAPIキー、Telegramトークン、Slackアカウント、完全なチャット履歴にアクセスし、管理者コマンドを実行できました。
修正: openssl rand -hex 24 でトークンを生成し、gateway.auth.tokenの下に配置します。JSONにハードコードせず、.envファイルに保存します。
チェック3: プレーンテキストAPIキー (30秒)
実行: cat ~/.openclaw/openclaw.json | grep -i "key\|token\|secret"
OpenClawはすべてをプレーンテキストのMarkdownとJSONで保存します。Anthropicキー、OpenAIキー、または任意の認証情報が表示される場合、それらは一度の侵害で危険にさらされます。
修正: 認証情報を.envファイルに移動し、権限をロック: chmod 700 ~/.openclaw/credentials chmod 600 ~/.openclaw/openclaw.json
APIキーが一度でも公開された場合は、今日中にローテーションしてください。
チェック4: インストール済みスキル (60秒)
実行: openclaw skills list
ClawHubで820以上の悪意のあるスキルが確認されています。ClawHavocキャンペーンでは、外部サーバーに.envファイルを静かに流出させる数百のプロフェッショナルに見えるスキルが仕込まれました。ピーク時には、ClawHub上の約12個に1つのスキルが侵害されていました。
ソースコードを個人的にレビューしていないすべてのスキルについて: 今すぐ読むか、openclaw skills uninstall <skill-name> で削除してください。
インストールを制限:
{ "skills": { "allowSources": ["clawhub:verified"] } }チェック5: バージョンステータス (30秒)
実行: openclaw --version
OpenClawには自動更新メカニズムがありません。3月中旬現在、GitHub GHSAページに255以上のセキュリティ勧告が公開されています。
更新: npm install -g openclaw@latest openclaw doctor --deep
出力を注意深く読んでください。
📖 Read the full source: r/openclaw
👀 See Also
OpenClawのセキュリティアプローチ:LLMルーターとzrokプライベート共有を活用
開発者が、VM+Kubernetes環境内でOpenClawとLLMルーターを単一コマンドで実行するアプローチを共有しました。セキュリティ上の懸念に対処するため、APIキーをルーターレベルで注入し、従来のメッセージングアプリのトークンの代わりにzrokをプライベート共有に使用しています。
OpenClawセキュリティ:AIエージェントを保護する13の実践的ステップ
Redditの投稿では、OpenClawのインストールに関する13のセキュリティ対策が概説されています。これには、別のマシンでの実行、ネットワーク分離のためのTailscaleの使用、Dockerでのサブエージェントのサンドボックス化、ユーザーアクセスの許可リストの設定などが含まれます。
セキュアにTailscaleなどを使用してVPSでOpenClawをセルフホストする
Tailscale、fail2ban、UFWなどを使用してVPS上でOpenClawを安全にセットアップし、公開アクセスを回避して防御を強化する方法。
Gemini-CliおよびGemini Proサブスクリプションを使用したGoogleアカウント利用のリスク調査
Gemini-CliとGemini Proサブスクリプションは、Googleアカウントにリスクをもたらす可能性があります。これらのAIツールの使用における潜在的な脆弱性について知っておくべきことをご紹介します。