重要なOpenClawセキュリティ脆弱性が2026年3月28日に修正されました。

OpenClawコアにおける重大なセキュリティ問題

Ant AI Security LabはOpenClawのフレームワークで33の脆弱性を特定し、そのうち8つの重大な問題が2026.3.28リリースで修正されました。これらの脆弱性は、エージェントのデプロイ方法における基本的な信頼境界の問題を露呈しています。

具体的な脆弱性とその影響

サンドボックス分離のバイパス

バージョン2026.3.24以前では、messageツールがサンドボックス検証をバイパスするmediaUrlおよびfileUrlのエイリアスを受け入れていました。これにより、サンドボックスに制限されたエージェントがこれらのエイリアスパラメータを通じて任意のローカルファイルを読み取ることが可能となり、分離が無効化されていました。

デバイスペアリングによる権限昇格

/pair approveコマンドパスは、コアチェックに呼び出し元のスコープを転送せずにデバイス承認を呼び出していました。これは、基本的なペアリング権限を持つユーザーが、完全な管理者アクセスを含むより広範なスコープを要求する保留中のデバイスリクエストを承認でき、実質的に自分が持っていない権限を自分自身に付与できることを意味します。

トークン失効の無効性

侵害が疑われるデバイスのトークンが失効された場合、ゲートウェイは保存された認証情報を更新するだけで、すでに認証済みのWebSocketセッションを切断しません。失効されたデバイスは、接続が自然に切断されるまで、ライブセッションを継続して使用できます。

画像プロバイダーにおけるSSRF脆弱性

falプロバイダーを画像生成に使用する場合、APIトラフィックと画像ダウンロードの両方に生のフェッチを使用し、SSRFガード付きフェッチパスをスキップしていました。これにより、悪意のあるリレーがゲートウェイに内部URLをフェッチさせ、画像パイプラインを通じて内部サービスの応答を公開することが可能でした。

許可リストの劣化

Google ChatやZaloなどのプラットフォーム向けのルートレベルのグループ許可リストは、グループポリシーを維持する代わりに、allowlistからopenへと暗黙的にダウングレードされていました。これにより、許可リストに登録されたスペースの任意のメンバーが、送信者レベルの制限を無視してボットと対話できるようになります。

直ちに必要な対応

• OpenClawのバージョンを確認してください。2026.3.24以前の場合は、直ちに2026.3.28にアップデートしてください。
• 予期しない管理者権限の付与がないか、ペアリングログを確認してください。
• 最近トークンを失効させた場合は、残存するWebSocketセッションを強制終了するためにゲートウェイを強制再起動してください。

Ant AI Security Labの監査は、プロンプトインジェクションのようなLLMセキュリティリスクに多くの注意が向けられている一方で、フレームワーク自体のパラメータ検証と信頼境界が重大な脆弱性を提示していることを明らかにしています。監査からの8つのすべての勧告は、OpenClaw GitHubのセキュリティタブで公開されています。