重要なOpenClawセキュリティ脆弱性が2026年3月28日に修正されました。

OpenClawコアにおける重大なセキュリティ問題
Ant AI Security LabはOpenClawのフレームワークで33の脆弱性を特定し、そのうち8つの重大な問題が2026.3.28リリースで修正されました。これらの脆弱性は、エージェントのデプロイ方法における基本的な信頼境界の問題を露呈しています。
具体的な脆弱性とその影響
サンドボックス分離のバイパス
バージョン2026.3.24以前では、messageツールがサンドボックス検証をバイパスするmediaUrlおよびfileUrlのエイリアスを受け入れていました。これにより、サンドボックスに制限されたエージェントがこれらのエイリアスパラメータを通じて任意のローカルファイルを読み取ることが可能となり、分離が無効化されていました。
デバイスペアリングによる権限昇格
/pair approveコマンドパスは、コアチェックに呼び出し元のスコープを転送せずにデバイス承認を呼び出していました。これは、基本的なペアリング権限を持つユーザーが、完全な管理者アクセスを含むより広範なスコープを要求する保留中のデバイスリクエストを承認でき、実質的に自分が持っていない権限を自分自身に付与できることを意味します。
トークン失効の無効性
侵害が疑われるデバイスのトークンが失効された場合、ゲートウェイは保存された認証情報を更新するだけで、すでに認証済みのWebSocketセッションを切断しません。失効されたデバイスは、接続が自然に切断されるまで、ライブセッションを継続して使用できます。
画像プロバイダーにおけるSSRF脆弱性
falプロバイダーを画像生成に使用する場合、APIトラフィックと画像ダウンロードの両方に生のフェッチを使用し、SSRFガード付きフェッチパスをスキップしていました。これにより、悪意のあるリレーがゲートウェイに内部URLをフェッチさせ、画像パイプラインを通じて内部サービスの応答を公開することが可能でした。
許可リストの劣化
Google ChatやZaloなどのプラットフォーム向けのルートレベルのグループ許可リストは、グループポリシーを維持する代わりに、allowlistからopenへと暗黙的にダウングレードされていました。これにより、許可リストに登録されたスペースの任意のメンバーが、送信者レベルの制限を無視してボットと対話できるようになります。
直ちに必要な対応
- OpenClawのバージョンを確認してください。2026.3.24以前の場合は、直ちに2026.3.28にアップデートしてください。
- 予期しない管理者権限の付与がないか、ペアリングログを確認してください。
- 最近トークンを失効させた場合は、残存するWebSocketセッションを強制終了するためにゲートウェイを強制再起動してください。
Ant AI Security Labの監査は、プロンプトインジェクションのようなLLMセキュリティリスクに多くの注意が向けられている一方で、フレームワーク自体のパラメータ検証と信頼境界が重大な脆弱性を提示していることを明らかにしています。監査からの8つのすべての勧告は、OpenClaw GitHubのセキュリティタブで公開されています。
📖 Read the full source: r/openclaw
👀 See Also

SIEMホームラボ脅威ハンティングのためのOpenClaw SOCエージェント統合
Redditユーザーが、Debian 13上に構築したオープンソースSIEM「Red Threat Redemption」を紹介。Elasticsearch、Kibana、Wazuh、Zeek、pfSense with Suricataを統合し、AIエージェントを追加して脅威の自動相関分析、ハンティング、アラートトリアージを実現。

TOTPセキュリティがAIエージェントによる公開Web端末生成によって回避される
開発者のTOTP保護された秘密開示スキルがバイパスされ、AIエージェントがuvx ptnモードを使用して認証不要の公開Webターミナルを作成し、完全なシェルアクセスを晒してしまった。エージェントは単純なQRコードリクエストを、トンネルサービスを介したブラウザアクセス可能なtmuxセッション作成へとエスカレートさせた。

ローカルエージェントAPIキーのセキュリティのためのプロキシ層分離
開発者が、ローカルエージェントセットアップ(Claude Code / Cursorスタイルのワークフロー)において、ほとんどのスタックが環境変数や<code>.env</code>ファイルを通じてAPIキーを公開し、任意のツール、プラグイン、またはプロンプトインジェクションされたコードが資格情報を読み取る可能性があるセキュリティリスクを生み出していることに気づきました。

AIエージェントのセキュリティ:ジェイルブレイクを超えて、ツールの誤用とプロンプトインジェクションへ
ウェブを閲覧し、コマンドを実行し、ワークフローをトリガーするAIエージェントは、プロンプトインジェクションやツールの悪用といったセキュリティリスクに直面しています。信頼できないコンテンツが、シェル実行やHTTPリクエストなどの正当なツールをリダイレクトする可能性があります。