はじめに
OpenClawは2026年1月のリリースから3週間でGitHub Stars 250,000超を獲得し、AIエージェント開発の事実上の標準ツールとなった。しかしその爆発的な普及と並行して、深刻なセキュリティ危機が発生している。
CVE-2026-25253(CVSS 8.8)による1クリックRCE(リモートコード実行)、公式マーケットプレイス ClawHub での大規模サプライチェーン攻撃 ClawHavoc 、そして関連プラットフォーム Moltbook からの35,000件のメールアドレスと150万件のエージェントAPIトークン漏洩。SecurityScorecard の調査によると、82か国で135,000以上のOpenClawインスタンスがインターネットに公開されており、そのうち15,000以上がRCE脆弱、53,000以上が過去の侵害活動と相関していた。
この記事では、OpenClawセキュリティ危機の技術的な全貌と、開発者が取るべき具体的な対策をまとめる。
この記事で学べること
- CVE-2026-25253の攻撃メカニズムとパッチ適用方法
- ClawHavocキャンペーンの手口と侵害指標(IoC)
- OpenClawインスタンスのハードニング設定
- AIエージェントマーケットプレイスのセキュリティリスクへの対処法
対象読者
- OpenClawを利用中、または導入を検討しているエンジニア
- AIエージェントのセキュリティを担当する開発者
- サプライチェーンセキュリティに関心のあるSRE・セキュリティエンジニア
TL;DR
- CVE-2026-25253(CVSS 8.8)はWebSocketのオリジン検証欠如により、悪意あるWebページを訪問するだけで1クリックRCEが成立する。 v2026.1.29以降 にアップデートすることで修正される
- ClawHubマーケットプレイスの 12〜20%のスキルが悪意あるコード を含んでおり、Atomic macOS Stealer(AMOS)やRAT等のマルウェアを配布していた
- 即座にバージョン確認・スキル監査・APIキーローテーション・ハードニング設定の適用が必要
CVE-2026-25253: 1クリックRCEの仕組み
脆弱性の概要
CVE-2026-25253は、OpenClawのControl UI(管理画面)がURLクエリパラメータ gatewayUrl の値を検証せずにWebSocket接続を自動確立する問題に起因する。CWEでは CWE-669(リソースの不正な転送) に分類されている。
| 項目 | 内容 |
|---|---|
| CVE ID | CVE-2026-25253 |
| CVSS v3.1 スコア | 8.8(HIGH) |
| 攻撃ベクトル | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| 影響バージョン | v2026.1.29 未満 |
| 修正バージョン | v2026.1.29 |
攻撃チェーンの詳細
この攻撃は以下の3ステップで成立する。
ステップ1: 悪意あるWebページへの誘導
攻撃者は、OpenClawのControl UIを gatewayUrl パラメータ付きで開くリンクを用意する。ブラウザは通常のHTTPリクエストにはCORS(Cross-Origin Resource Sharing)を適用するが、 WebSocket接続にはCORSが適用されない 。この仕様の差異が攻撃の根幹にある。
ステップ2: 認証トークンの窃取
被害者がリンクをクリックすると、Control UIは攻撃者のサーバーに対してWebSocket接続を確立し、その過程で認証トークンが送信される。OpenClawのサーバー側にはWebSocketリクエストのオリジンチェックが実装されていなかったため、攻撃者は正規のトークンを取得できる。
ステップ3: RCEの実行
窃取したトークンを使い、攻撃者はOpenClawインスタンスに対して任意のコマンドを実行する。OpenClawのスキルはエージェントと同じ権限(ターミナルアクセス、ファイルシステムアクセス、OAuth トークン等)で動作するため、影響範囲は極めて広い。
被害者のブラウザ
↓ (1) 悪意あるリンクをクリック
Control UI (gatewayUrl=攻撃者サーバー)
↓ (2) WebSocket接続 + トークン送信
攻撃者サーバー
↓ (3) 窃取したトークンで正規インスタンスに接続
OpenClawインスタンス → 任意コマンド実行(RCE)
影響範囲
2026年1月31日時点で、Censysの調査により 21,639インスタンス がインターネットに公開されていることが判明した。これらの多くは認証なしでアクセス可能で、APIキー、OAuthトークン、平文の認証情報が漏洩していた。
米国が最大のシェアを占め、次いで中国(Alibaba Cloud上のインスタンスが約30%)が続いた。SecurityScorecardの後続調査では、82か国で 135,000以上 のインスタンスが公開されていたことが報告されている。
ClawHavocキャンペーン: サプライチェーン攻撃の実態
攻撃の規模
ClawHubは OpenClaw の公式スキル(プラグイン)マーケットプレイスとして機能している。Koi Security の研究者 Oren Yomtov が2,857スキルを監査した結果、 341スキル(約12%)が悪意あるコード を含んでいた。そのうち335スキルは単一の協調攻撃キャンペーン ClawHavoc に帰属する。
Bitdefenderの後続調査では、10,700以上のパッケージ中 824以上(約20%)の悪意あるエントリ が確認されている。主要な脅威アクターとして、 hightower6eu が354パッケージ、 sakaen736jih が199パッケージを投稿していた。後者は数分おきに1件ずつ自動投稿していたことが確認されている。
悪意あるスキルの分類
Bitdefenderの分析による攻撃カテゴリの内訳は以下のとおり。
| カテゴリ | 割合 | 内容 |
|---|---|---|
| 暗号通貨関連 | 54% | ウォレットドレイナー、偽トレーディングツール |
| SNSターゲティング | 24% | クレデンシャルハーベスティング |
| 保守・アップデーターツール | 17% | 永続アクセスの確保 |
| 生産性ツール偽装 | 5% | 正規ツールに偽装したマルウェア |
攻撃の手口
悪意あるスキルは、プロフェッショナルなドキュメントと無害な名前(例: solana-wallet-tracker)を用いて正規ツールに偽装していた。インストール後、以下の3つの手法でペイロードを配信する。
macOS Dropper
base64エンコードされたペイロードをデコードし、curl コマンドで攻撃者のサーバーから任意のコードをダウンロード・実行する。主要なペイロードは Atomic macOS Stealer(AMOS) で、パスワード、ブラウザCookie、暗号通貨ウォレット、macOS Keychainのデータを窃取する。
Windows Installer
ドライバパッケージに偽装したMSIインストーラを配布する。VMProtectで難読化されたRAT(Remote Access Trojan)を含む。
MCPバックドア
bore.pub 経由のリモートアクセストンネルを確立し、永続的なバックドアアクセスを提供する。
侵害指標(IoC)
OpenClawを利用している環境では、以下のIoCを確認することが推奨される。
| 種別 | 値 |
|---|---|
| IP アドレス | 91.92.242.30 |
| URL | http://91.92.242.30/6wioz8285kcbax6v |
| トンネルドメイン | bore.pub |
| トンネルポート | 44876 |
| GitHub リポジトリ | toolitletolate/openclaw_windriver |
Moltbook侵害: 関連プラットフォームからの大量漏洩
Moltbook は OpenClaw 専用のソーシャルネットワークプラットフォームとして運営されていた。2026年1月31日、このプラットフォームから以下のデータが漏洩した。
- 35,000件 のメールアドレス
- 150万件 のエージェントAPIトークン(770,000以上のアクティブエージェントに紐づく)
漏洩したAPIトークンを使用することで、攻撃者はOpenClawエージェントの操作権限を取得し、接続先のSaaSサービス(Slack、Gmail、Google Drive等)へのラテラルムーブメント(横方向移動)が可能になる。
エンタープライズ環境における脅威
Shadow AIとしてのリスク
OpenClawがエンタープライズ環境で使用される場合、以下のSaaSサービスと統合されることが多い。
- Slack: メッセージとファイルへのアクセス
- Gmail: メール・カレンダーエントリの読み書き(
gmail.modify,gmail.settings.basic等の権限) - Google Drive: クラウドドキュメントへのアクセス
- OAuth トークン: 他サービスへのラテラルムーブメントの起点
OpenClawの永続メモリ機能は、アクセスしたデータをセッション間で保持する。エージェントが侵害された場合、蓄積されたデータも攻撃者に渡る「 複合的な露出 」リスクが生じる。
従来のセキュリティツールの限界
AIエージェントの活動は従来のセキュリティツールでは検出が困難とされている。
- EDR(エンドポイントセキュリティ) : エージェントの振る舞いのコンテキストを把握できない
- ネットワーク監視ツール : 正規の自動化と侵害されたエージェントの通信を区別できない
- IAM(アイデンティティ管理) : AIエージェントの接続を異常なフラグとして検出しない
対策: 即座に実行すべき5ステップ
ステップ1: バージョン確認とアップデート
# 現在のバージョンを確認
openclaw --version
# 最新版にアップデート
npm update -g openclaw
CVE-2026-25253はv2026.1.29で修正されている。加えて、soul-evil フックの脆弱性はv2026.2.1で修正されているため、最新の安定版への更新が推奨される。
ステップ2: インストール済みスキルの監査
# インストール済みスキルの一覧を取得
openclaw skills list
# セキュリティ監査を実行
openclaw security audit --deep
上記のIoCに該当するスキルが検出された場合は、即座に削除すること。Snykの分析では、さらに283スキル(7.1%)が平文で認証情報を漏洩していたことも報告されている。
ステップ3: 侵害の確認とトークンローテーション
ログ内に前述のIoC(IPアドレス 91.92.242.30、ドメイン bore.pub 等)が含まれていないか確認する。侵害の兆候が見つかった場合、または予防的措置として、以下を実施する。
- OpenClawに設定しているすべてのAPIキーをローテーション
- OAuthトークンの再発行
- 接続先SaaSサービスのアクセスログの確認
ステップ4: ハードニング設定の適用
以下の設定を settings.json に適用することで、攻撃面を縮小できる。
| 優先度 | 設定項目 | 推奨値 |
|---|---|---|
| 最高 | Gateway バインド | ループバックのみ |
| 最高 | サンドボックスモード | "on" |
| 高 | ファイルシステムアクセス | workspaceOnly: true |
| 高 | チャネル許可リスト | 安定IDのみ(名前ではなく) |
| 高 | Control UI オリジン | 明示的ホワイトリスト |
| 中 | Node.js バージョン | v22.12.0以上 |
| 中 | Docker 設定 | read-only、capabilities 無効 |
{
"gateway": {
"bind": "127.0.0.1",
"corsOrigins": ["http://localhost:3000"]
},
"sandbox": {
"enabled": true,
"filesystem": {
"workspaceOnly": true
}
},
"skills": {
"allowList": [],
"autoInstall": false
}
}
ステップ5: 監視体制の構築
OpenClawエージェントのSaaS連携を可視化し、異常な権限付与やデータアクセスを検出する体制を整備する。Slack連携の場合、以下のUser-Agentパターンでエージェントの活動を識別できる。
ApiApp/<SlackAppID> @slack:socket-mode/2.0.5 @slack:bolt/4.6.0
@slack:web-api/7.13.0 openclaw/22.22.0 <OS-Identifier>
AIエージェントマーケットプレイスのセキュリティ教訓
OpenClawのセキュリティ危機は、AIエージェントエコシステム全体に共通する構造的な問題を浮き彫りにしている。
スキルの権限モデルの根本的な欠陥: OpenClawのスキルはエージェントと同じ権限で動作する。ターミナルアクセス、ファイルシステム全体へのアクセス、OAuthトークンへのアクセスがスキルに付与されるため、1つの悪意あるスキルがシステム全体を侵害できる。
マーケットプレイスの審査不足: ClawHubには効果的なコードレビューやセキュリティスキャンの仕組みが欠如していた。npm、PyPI等の既存パッケージマネージャが経験してきたサプライチェーン攻撃の教訓が活かされていない。
急速な普及とセキュリティのギャップ: 3週間で250,000スター、135,000公開インスタンスという爆発的な普及に対して、セキュリティ対策が追いついていなかった。AIエージェントツールは従来のソフトウェアよりも広範な権限を要求するため、このギャップの影響は一層深刻になる。
これらの問題は OpenClaw に限ったものではない。AIエージェントのスキル/プラグインエコシステムを構築するすべてのプロジェクトが、権限の最小化、マーケットプレイスの審査強化、ゼロトラスト設計を前提にする必要がある。
まとめ
- CVE-2026-25253(CVSS 8.8)はWebSocketのオリジン検証欠如に起因する1クリックRCE。 v2026.1.29以降で修正済み のため、即座にアップデートすること
- ClawHavocキャンペーンにより、ClawHubの12〜20%のスキルが悪意あるコードを含んでいた。
openclaw security audit --deepでインストール済みスキルを監査すること - エンタープライズ環境では、OpenClawエージェントのSaaS連携権限がラテラルムーブメントの起点になりうる。Shadow AIとしてのリスクを認識し、監視体制を構築すること
- AIエージェントマーケットプレイスのセキュリティ設計は発展途上にある。スキルの権限分離、コード署名、審査プロセスの整備が今後の課題となる
参考リンク
- NVD - CVE-2026-25253
- OpenClaw Security Guide: CVE-2026-25253, Malicious Skills, and 40+ Fixes
- OpenClaw: The AI Agent Security Crisis Unfolding Right Now | Reco
- OpenClaw Hit 250K GitHub Stars — Then 20% of Its Skills Were Found Malicious | Particula
- OpenClaw Went from Viral AI Agent to Security Crisis in Just Three Weeks | Admin By Request
- Critical OpenClaw Vulnerability Exposes AI Agent Risks | Dark Reading