AIエージェントOpenClawの深刻な脆弱性を総称してClawJackedと呼んでいるということですが、その1つである脆弱性CVE-2026-25253の詳細情報がOasis Researchチームにより公開されたということです。この脆弱性により外部ウェブサイトからOpenClawをハイジャックすることが可能になるリスクがあるということです。OpenClawのユーザーは2026.2.25以降のバージョンにアップデートする必要があります。
ローカルアクセスへの信頼に「穴」
OpenClawは、オープンソースのAIエージェントで、ローカルホストに接続して情報収集やデータ整理、メッセージ送信などを人間に代わって行ってくれ、自ら指示を理解して必要な手順を考えて操作を実行するため「デジタル従業員」などと呼ばれています。昨年11月にGitHub上でClawdBotという名称で登場し、その後、MoltBotに変更され、さらにOpenClawに変更されて現在に至っています。
Oasis Researchチームのブログによると、OpenClawは、ゲートウェイと呼ばれるローカルWebSocketサーバーが頭脳として機能しており、ゲートウェイが認証の処理、チャットセッションの管理、AIエージェントのオーケストレーションを行うということです。ゲートウェイは、ローカルアクセスが本質的に信頼されているという前提に基づいており、デフォルトでローカルホストに接続するということです。しかし、CVE-2026-25253によりOpenClawが外部ウェブサイトを閲覧している間、そのページで実行されているJavaScriptがローカルのOpenClawゲートウェイに接続することが可能で、外部サイトからOpenClawゲートウェイに接続しても、ユーザーには何も表示されないということです。
求められるガバナンスの確立
外部サイトからOpenClawゲートウェイに接続した攻撃者が、OpenClawユーザーのローカルホストに接続するにはパスワードが必要になりますが、パスワードの推測にはレート制限も回数制限もなく、失敗した回数はカウントされずログにも記録されないためパスワードは推測されやすく、パスワード推測により攻撃者は管理者レベルの権限を持つ完全に認証されたセッションを取得することができてしまう恐れがあるということです。その結果、攻撃者はAIエージェントに指示を与えてユーザーのSlack履歴からAPIキーを検索したり、プライベートメッセージを読んだり、接続されたデバイスからファイルを盗み出したり、ペアリングされた任意のノードで任意のシェルコマンドを実行したりすることが可能になり、ワークステーション全体が侵害される恐れがあるということです。
Oasis Researchチームは実際に外部ウェブサイトのブラウザーから接続しユーザーのAIエージェントと対話し、その間、ユーザーには何もわからなかったということです。この脆弱性に対する修正プログラムがすでにリリースされており、2026.2.25以降のバージョンにアップデートする必要があります。Oasis Researchチームはアップデートのほかに、AIツールの可視性を確保すること、AIエージェントに付与されたアクセス権限を確認し必要のないものは取り消すこと、さらにAIエージェントのアクションが何を実行しようとしているのかを事前に把握し危険なアクションをブロックし、機密性の高い操作には人間の承認を必要とするなどAIエージェントに対するガバナンスを確立することを求めています。
【出典】
https://www.oasis.security/blog/openclaw-vulnerability