AIエージェントが乗っ取られる脆弱性「ClawJacked」― WebSocket経由でローカル環境が危険に

雑記

OpenClawのローカルAIエージェントに、悪意のあるWebサイトからWebSocket接続でエージェントを完全に乗っ取れる深刻な脆弱性「ClawJacked」が発見された。サイバーセキュリティ企業Oasis Securityが報告し、OpenClawは24時間以内にパッチを提供した。AIエージェントのセキュリティに関する重要な警鐘となる事例だ。

この記事のポイント

  • OpenClawのローカルWebSocketゲートウェイに、ブラウザから接続してAIエージェントを乗っ取れる深刻な脆弱性が発見された
  • 攻撃にはプラグインや拡張機能は不要で、OpenClawのコアシステム自体に脆弱性が存在していた
  • パスワードのブルートフォース(総当たり攻撃)にレート制限がなく、デバイス登録も自動承認される設計上の欠陥が原因

脆弱性「ClawJacked」の仕組み

この脆弱性は、開発者がローカルマシンでOpenClawのWebSocketゲートウェイを実行している環境で悪用される。攻撃者が制御するWebサイトにアクセスした際、悪意のあるJavaScriptが以下の手順で攻撃を実行する。

まず、localhostのOpenClawゲートウェイポートにWebSocket接続を開く。次に、レート制限が存在しないため、ゲートウェイパスワードをブルートフォースで突破する。その後、信頼済みデバイスとして自動承認で登録され、ユーザーの確認プロンプトをバイパスする。最終的に、AIエージェントに対する完全な管理者権限を取得できてしまう。

Oasis Securityは「ブラウザはlocalhostへのクロスオリジン接続をブロックしない。ゲートウェイはローカル接続に対してセキュリティ機構を緩和し、ユーザーの確認なしにデバイスペアリングを自動承認してしまう」と説明している。つまり、訪問したどのWebサイトからでもlocalhostへのWebSocket接続が可能であり、これが攻撃の入口となっていた。

なぜこの脆弱性が危険なのか

注目すべきは、この脆弱性がOpenClawのコアシステムそのものに存在していた点だ。プラグイン、マーケットプレイス、ユーザーがインストールした拡張機能は一切関係なく、ドキュメント通りにセットアップしたベアのOpenClawゲートウェイだけで攻撃が成立する。

AIエージェントはシステムへの深いアクセス権を持つことが多く、乗っ取られた場合の影響は甚大だ。ファイル操作、コマンド実行、外部サービスとの連携など、エージェントに許可されたすべての操作が攻撃者の手に渡る可能性がある。

さらに、OpenClawには関連する複数の脆弱性も報告されている。CVE-2026-25593、CVE-2026-24763、CVE-2026-25157、CVE-2026-25475、CVE-2026-26319/322/329など、リモートコード実行、認証バイパス、SSRF攻撃を可能にする脆弱性が相次いで公開されており、AIエージェントプラットフォーム全体のセキュリティに対する懸念が高まっている。

修正とタイムライン

OpenClawはこの脆弱性の報告を受けて迅速に対応し、2026年2月26日にバージョン2026.2.25として修正パッチを公開した。報告から24時間以内での修正という素早い対応は評価できる。

なお、関連する問題として、2026年2月14日にはログポイズニングの脆弱性もバージョン2026.2.13で修正されている。これらの脆弱性の連鎖的な存在は、AIエージェント基盤の設計段階からセキュリティを考慮することの重要性を示している。

知っておくと便利なTips

  • ローカルで動作するAIエージェントやツールのWebSocketポートは、ファイアウォールルールで外部からのアクセスを制限することが望ましい
  • AIエージェントに付与するシステム権限は最小限にとどめ、定期的にアクセス権限を監査する
  • localhostへのWebSocket接続はブラウザのセキュリティモデルではブロックされないことを認識し、ローカルサービスの設計時にはレート制限や明示的なユーザー承認を実装する
  • AIエージェントプラットフォームのアップデートは速やかに適用し、セキュリティアドバイザリを定期的に確認する

まとめ

「ClawJacked」脆弱性は、AIエージェントのローカル実行環境がWebブラウザを介した攻撃に対して脆弱であることを明らかにした重要な事例だ。localhostへのWebSocket接続がブラウザでブロックされないという既知の特性が、AIエージェントという新しいコンテキストで深刻な脅威となった。Claude Codeを含むローカルAIエージェントを利用する開発者にとって、エージェントの権限管理とネットワークセキュリティの重要性を再認識させる事例である。OpenClawの迅速な修正対応は評価に値するが、AIエージェントプラットフォーム全体として、設計段階からのセキュリティ対策の強化が求められている。

📎 元記事: https://thehackernews.com/2026/02/clawjacked-flaw-lets-malicious-sites.html

関連記事

コメント

タイトルとURLをコピーしました