重要なOpenClawセキュリティ脆弱性が2026年3月28日に修正されました。

✍️ OpenClawRadar📅 公開日: April 1, 2026🔗 Source
重要なOpenClawセキュリティ脆弱性が2026年3月28日に修正されました。
Ad

OpenClawコアにおける重大なセキュリティ問題

Ant AI Security LabはOpenClawのフレームワークで33の脆弱性を特定し、そのうち8つの重大な問題が2026.3.28リリースで修正されました。これらの脆弱性は、エージェントのデプロイ方法における基本的な信頼境界の問題を露呈しています。

具体的な脆弱性とその影響

サンドボックス分離のバイパス

バージョン2026.3.24以前では、messageツールがサンドボックス検証をバイパスするmediaUrlおよびfileUrlのエイリアスを受け入れていました。これにより、サンドボックスに制限されたエージェントがこれらのエイリアスパラメータを通じて任意のローカルファイルを読み取ることが可能となり、分離が無効化されていました。

デバイスペアリングによる権限昇格

/pair approveコマンドパスは、コアチェックに呼び出し元のスコープを転送せずにデバイス承認を呼び出していました。これは、基本的なペアリング権限を持つユーザーが、完全な管理者アクセスを含むより広範なスコープを要求する保留中のデバイスリクエストを承認でき、実質的に自分が持っていない権限を自分自身に付与できることを意味します。

トークン失効の無効性

侵害が疑われるデバイスのトークンが失効された場合、ゲートウェイは保存された認証情報を更新するだけで、すでに認証済みのWebSocketセッションを切断しません。失効されたデバイスは、接続が自然に切断されるまで、ライブセッションを継続して使用できます。

画像プロバイダーにおけるSSRF脆弱性

falプロバイダーを画像生成に使用する場合、APIトラフィックと画像ダウンロードの両方に生のフェッチを使用し、SSRFガード付きフェッチパスをスキップしていました。これにより、悪意のあるリレーがゲートウェイに内部URLをフェッチさせ、画像パイプラインを通じて内部サービスの応答を公開することが可能でした。

許可リストの劣化

Google ChatやZaloなどのプラットフォーム向けのルートレベルのグループ許可リストは、グループポリシーを維持する代わりに、allowlistからopenへと暗黙的にダウングレードされていました。これにより、許可リストに登録されたスペースの任意のメンバーが、送信者レベルの制限を無視してボットと対話できるようになります。

Ad

直ちに必要な対応

  • OpenClawのバージョンを確認してください。2026.3.24以前の場合は、直ちに2026.3.28にアップデートしてください。
  • 予期しない管理者権限の付与がないか、ペアリングログを確認してください。
  • 最近トークンを失効させた場合は、残存するWebSocketセッションを強制終了するためにゲートウェイを強制再起動してください。

Ant AI Security Labの監査は、プロンプトインジェクションのようなLLMセキュリティリスクに多くの注意が向けられている一方で、フレームワーク自体のパラメータ検証と信頼境界が重大な脆弱性を提示していることを明らかにしています。監査からの8つのすべての勧告は、OpenClaw GitHubのセキュリティタブで公開されています。

📖 Read the full source: r/openclaw

Ad

👀 See Also

AIエージェントのガードレールは、積極的なメンテナンスなしでは時間とともに劣化します。
Security

AIエージェントのガードレールは、積極的なメンテナンスなしでは時間とともに劣化します。

AIエージェントのガードレール(システムプロンプトで定義された安全ルール)は、システムプロンプトの更新が蓄積し、モデルバージョンが変更され、新しいツールが追加されるにつれて時間とともに劣化し、矛盾したルールや無視される安全ルールが生じ、定期的なレビューとテストが必要になることが多い。

OpenClawRadar
制服警備員問題:エージェントサンドボックスにはポリシーだけでなくアイデンティティが必要な理由
Security

制服警備員問題:エージェントサンドボックスにはポリシーだけでなくアイデンティティが必要な理由

Nemoclawのopenshellサンドボックスは、ポリシーをバイナリにスコープするため、マルウェアがエージェントと同じバイナリを使用して環境に寄生(live-off-the-land)することを可能にします。オープンソースのエージェントID層であるZeroIDは、セキュアなIDでバックアップされたエージェントにセキュリティポリシーを適用します。

OpenClawRadar
フライトラップ攻撃は、敵対的傘を用いてカメラベースの自律ドローンのセキュリティを脅かします。
Security

フライトラップ攻撃は、敵対的傘を用いてカメラベースの自律ドローンのセキュリティを脅かします。

カリフォルニア大学アーバイン校の研究者らは、塗装された傘を利用してカメラベースの自律ターゲット追跡システムの脆弱性を悪用する物理的攻撃フレームワーク「FlyTrap」を開発しました。この攻撃は追跡距離を危険なレベルまで縮め、ドローン捕獲、センサー攻撃、または物理的衝突を可能にします。

OpenClawRadar
91,000件のAIエージェント対話からの脅威データ:ツール悪用が6.4%増加、新たなマルチモーダル攻撃を確認
Security

91,000件のAIエージェント対話からの脅威データ:ツール悪用が6.4%増加、新たなマルチモーダル攻撃を確認

2026年2月における91,284件のAIエージェント対話の分析によると、ツール/コマンドの悪用が6.4%増加して14.5%に達し、ツールチェーンエスカレーションが主要なパターンとなっています。RAGポイズニングはメタデータ攻撃(12.0%)へと移行し、画像/PDFを介したマルチモーダルインジェクションが2.3%で新たに出現しました。

OpenClawRadar