OpenClawのセキュリティ脆弱性：2026年3月28日に重大なフレームワーク欠陥が修正されました。

OpenClawフレームワークにおける重大なセキュリティ脆弱性

Ant AI Security LabはOpenClawのコアフレームワークに対して3日間の監査を実施し、33件の脆弱性レポートを提出しました。これらのうち8件の脆弱性は2026.3.28リリースで修正され、一般的に議論されるプロンプトインジェクションや悪意のあるスキルのリスクを超えた、重要なアーキテクチャ上のセキュリティ問題が明らかになりました。

特定された具体的な脆弱性

• ツールパラメータによるサンドボックス回避: バージョン<= 2026.3.24では、messageツールがサンドボックス検証を回避するmediaUrlおよびfileUrlのエイリアスを受け入れます。これにより、サンドボックスに制限されたエージェントがこれらのエイリアスパラメータを介して任意のローカルファイルを読み取ることが可能となり、事実上、分離が破られます。
• デバイスペアリングによる権限昇格: /pair approveコマンドパスは、呼び出し元のスコープをコアチェックに転送せずにデバイス承認を呼び出していました。基本的なペアリング権限を持つユーザーは、完全な管理者アクセスを含む広範なスコープを要求する保留中のデバイスリクエストを承認し、自分自身に持っていない権限を付与することができました。
• トークン失効後のセッション持続: トークンが失効した場合、ゲートウェイは保存された認証情報のみを更新し、すでに認証済みのWebSocketセッションを切断しません。失効したデバイスは、接続が自然に切断されるまで、ライブセッションを継続して使用できます。
• 画像プロバイダにおけるSSRF脆弱性: 画像生成用のfalプロバイダは、APIトラフィックと画像ダウンロードの両方に生のフェッチを使用し、SSRFガード付きのフェッチパスをスキップします。悪意のあるリレーは、ゲートウェイに内部URLをフェッチさせ、画像パイプラインを通じて内部サービスの応答を公開する可能性があります。
• 許可リストの劣化: ルートレベルのグループ許可リスト（例：Google ChatやZalo用）は、グループポリシーを保持する代わりに、allowlistからopenへと暗黙的に格下げされていました。許可リストに登録されたスペースのメンバーは誰でも、送信者レベルの制限を無視してボットと対話できました。

必要な即時対応

• OpenClawのバージョンを確認してください。2026.3.28未満の場合は、直ちに更新してください。
• 予期しない管理者権限の付与がないか、ペアリングログを確認してください。
• 最近トークンを失効させた場合は、ゲートウェイを強制的に再起動して残存するWebSocketセッションを終了させてください。

Ant AI Security Labの監査は、多くの注目がLLMの動作に集中している一方で、基盤となるフレームワークの信頼境界とパラメータ検証がセキュリティにおいて同様に重要であることを強調しています。監査からの8件のすべてのアドバイザリは、OpenClawのGitHubセキュリティタブで公開されています。