1か月以上にわたり、セキュリティ担当者たちは、開発コミュニティを席巻したウイルス的なAIエージェントツールであるOpenClawの危険性について警告してきました。最近修正された脆弱性は、その理由を教えてくれる具体例です。
11月に導入され、現在Githubで347,000スターを誇るOpenClawは、設計上、ユーザーのコンピュータを制御し、ファイル整理、調査、オンラインショッピングなど、さまざまなタスクを支援するために、ほかのアプリやプラットフォームと連携します。役に立つには、できるだけ多くのリソースへのアクセスが必要で、その量も多くなければなりません。Telegram、Discord、Slack、ローカルおよび共有ネットワークのファイル、アカウント、ログイン済みセッションなどは、想定されているリソースの一部にすぎません。アクセスが付与されると、OpenClawは、ユーザーとまったく同じように振る舞うよう設計されており、同等の広範な権限と機能を持ちます。
深刻な影響
今週初め、OpenClawの開発者たちは、重大度が高い3つの脆弱性に対するセキュリティパッチを公開しました。特に1つであるCVE-2026-33579は、使用する指標によって、10点満点中8.1から9.8と評価されており、もちろんその理由があります。ペアリング権限(最も低いレベルの権限)を持つ誰でも、管理者ステータスを獲得できるためです。その結果、攻撃者は、OpenClawインスタンスが持つあらゆるリソースを制御できるようになります。
AIアプリビルダーのBlinkの研究者は「実際の影響は深刻です。」 「攻撃者は、すでにoperator.pairingスコープ(OpenClaw導入環境における最も意味のある最低権限)を保有していれば、operator.adminスコープを要求するデバイスのペアリング要求を、こっそり承認できます。承認が通ると、攻撃用デバイスはOpenClawインスタンスに対して完全な管理者アクセスを保持します。追加の二次的な悪用は不要です。初回のペアリング手順以外のユーザー操作も不要です。」
投稿はさらにこう続けました。「会社全体を対象としたAIエージェントプラットフォームとしてOpenClawを運用している組織にとって、侵害されたoperator.adminデバイスは、接続されているすべてのデータソースを読み取り、エージェントのスキル環境に保存された資格情報(クレデンシャル)を外部へ持ち出し(exfiltrate)、任意のツール呼び出しを実行し、さらに他の接続済みサービスへ横展開(pivot)できます。『権限昇格(privilege escalation)』という言葉では控えめすぎます。結果はインスタンスの完全乗っ取りです。」
