eSecurity Planet のコンテンツと製品の推奨事項は編集上独立しています。パートナーへのリンクをクリックすると、報酬を得る場合があります。 詳細はこちら
Cyera の研究者は、OpenClaw の 4 つのチェーン可能な脆弱性を開示し、総称して Claw Chain と名付けられました。これらは、攻撃者が AI エージェントのサンドボックスを回避し、認証情報を盗み、権限をエスカレートし、エンタープライズ環境全体で永続的なアクセスを確立することを可能にする可能性があります。
この調査結果は、自律型 AI エージェント プラットフォームに関連するセキュリティ リスクについての、より広範な懸念を呼び起こしています。
「各ステップは従来のコントロールに対して通常のエージェント動作のように見え、影響範囲を広げ、検出を大幅に難しくします」と研究者は述べています。
OpenClaw 調査結果からの主要なポイント
- Cyera は、総称して Claw Chain と名付けられた 4 つのチェーン可能な OpenClaw 脆弱性を開示しました。
- これらの欠陥により、攻撃者が AI エージェント サンドボックスを回避し、認証情報を盗み、権限をエスカレートし、永続性を確立することが可能になる可能性があります。
- 最も深刻な脆弱性である CVE-2026-44112 は CVSS スコア 9.6 を受け取りました。
- 研究者はまた、最大 180,000 個のインターネット対応 OpenClaw 展開をオンラインで公開されているのを特定しました。
- Cyera は、攻撃者が正当な AI エージェント ワークフローを悪用して従来のセキュリティ コントロールを回避する可能性があると警告しています。
OpenClaw Claw Chain 脆弱性の概要
| CVE | 脆弱性のタイプ | CVSS スコア | 潜在的な影響 |
| CVE-2026-44112 | TOCTOU ファイルシステム書き込みエスケープ | 9.6 重大 | サンドボックス回避、バックドア配置、永続的なアクセス |
| CVE-2026-44115 | 環境変数の開示 | 8.8 高 | API キー、トークン、認証情報の露出 |
| CVE-2026-44118 | MCP ループバック権限エスカレーション | 7.8 高 | ランタイムと構成への所有者レベルのアクセス |
| CVE-2026-44113 | TOCTOU ファイルシステム読み取りエスケープ | 7.7 高 | 機密ファイルと内部アーティファクトの露出 |
Claw Chain 脆弱性の内部
OpenClaw は、AI エージェントをファイルシステム、SaaS アプリケーション、認証情報、およびエンタープライズ ワークフローに接続する広く使用されているオープンソース プラットフォームです。
このプラットフォームは通常、Telegram、Discord、Microsoft Agent 365 などのプラットフォームに関連する IT 自動化、運用統合、およびカスタマー サービス ワークフロー用に使用されます。
これらの統合は自動化機能を改善しますが、プラットフォームが侵害されると、より大きな攻撃面も生成されます。
Cyera によると、Shodan を通じて約 65,000 の公開アクセス可能な OpenClaw インスタンスが特定されましたが、Zoomeye は 2026 年 5 月現在、約 180,000 のインターネット対応展開をインデックスしています。
研究者は、強力なアクセス コントロールまたはネットワーク セグメンテーションのない、インターネット対応の OpenClaw 環境は、AI エージェントが広範な権限で動作することが多いため、リスク が高まる可能性があると警告しています。
悪用が成功すると、攻撃者は認証情報、内部ファイル、プロンプト、機密のエンタープライズ データを盗み、悪意のある活動を通常のエージェント動作に見せかけることができます。
CVE-2026-44112: TOCTOU ファイルシステム書き込みエスケープ
Cyera が特定した最も深刻な脆弱性は CVE-2026-44112 です。これは OpenShell サンドボックスに影響を与える重大な Time-of-Check/Time-of-Use (TOCTOU) ファイルシステム書き込みエスケープ欠陥です。この脆弱性は CVSS スコア 9.6 を受け取りました。
研究者は、攻撃者がサンドボックス検証プロセスの競合状態を悪用して、意図されたサンドボックスの境界の外にファイル書き込みをリダイレクトできることを発見しました。
これにより、悪意のあるアクターは設定を改ざんし、バックドアを配置し、エージェントの動作を変更し、ホスト環境に対する永続的な制御を確立する可能性があります。
OpenClaw エージェントはランタイム時にファイルを自動的に書き込み、アクションを実行できるため、高度に自動化されたエンタープライズ環境では脆弱性の影響が増幅される可能性があります。
CVE-2026-44113: TOCTOU ファイルシステム読み取りエスケープ
Cyera はまた、CVSS スコア 7.7 の高重大度 TOCTOU ファイルシステム読み取りエスケープ脆弱性である CVE-2026-44113 を特定しました。
この欠陥により、検証プロセスが完了した後、攻撃者は検証されたファイル パスを、承認されたサンドボックス マウント ルートの外を指すシンボリック リンクと交換することができます。
悪用が成功すると、AI エージェントがアクセスすることを意図されていなかったシステム ファイル、認証情報、内部ドキュメント、ソース コード、およびその他の機密アーティファクトが露出する可能性があります。
研究者は、この脆弱性が OpenClaw を実行するエンタープライズ環境内での認証情報盗難と機密データ露出のリスクを増加させる可能性があると警告しています。
CVE-2026-44115: 実行許可リスト環境変数の開示
別の高重大度脆弱性である CVE-2026-44115 は CVSS スコア 8.8 を受け取り、OpenClaw のコマンド検証とシェル実行プロセスに影響を与えます。
研究者は、実行許可リスト検証とシェル処理の間のギャップにより、ランタイム中に環境変数がクォートされていない here ドキュメント内で展開されることができることを発見しました。
この動作は、検証中に最初は安全に見える コマンドを通じて API キー、アクセス トークン、認証情報、およびその他のシークレットを露出させる可能性があります。
OpenClaw 環境は認証情報と API 認証情報を環境変数に格納することが多いため、攻撃者は従来のセキュリティ コントロールをトリガーすることなく機密シークレットを抽出する可能性があります。
CVE-2026-44118: MCP ループバック権限エスカレーション
4 番目の脆弱性である CVE-2026-44118 は、OpenClaw の MCP ループバック機能に影響を与える CVSS スコア 7.8 の権限エスカレーション欠陥です。
研究者によると、OpenClaw は senderIsOwner と呼ばれるクライアント制御所有権フラグを、認証されたセッションに対して検証せずに、不適切に信頼しています。
有効なベアラー トークンにアクセスできる攻撃者は、この欠陥を悪用して権限を所有者レベルのアクセスに昇格させることができます。
悪用が成功すると、攻撃者に、ゲートウェイ設定、cron スケジューリング、実行環境管理、および AI エージェント インフラストラクチャに関連するその他の特権付きランタイム操作を制御できるようになります。
Claw Chain 攻撃シーケンスの仕組み
各脆弱性は個別に意味のあるリスクをもたらしますが、Cyera の研究者は、真の懸念は欠陥を一緒にチェーンして調整された攻撃シーケンスにすることから生まれると強調しています。
攻撃は、悪意のあるプラグイン、プロンプト インジェクション攻撃、または侵害された外部サプライ チェーン入力が OpenShell サンドボックス内でコード実行を取得することで開始される可能性があります。
攻撃者はその後、CVE-2026-44113 と CVE-2026-44115 を悪用して、エージェントの意図されたスコープを超えた認証情報、シークレット、機密ファイルを抽出することができます。
CVE-2026-44118 を使用して、攻撃者は権限をエスカレートして OpenClaw ランタイム環境に対する所有者レベルの制御を獲得することができます。
最後に、CVE-2026-44112 を使用して、永続的なバックドアを埋め込み、構成を変更するか、将来のエージェント動作を変更して長期アクセスを維持することができます。
研究者は、攻撃チェーンが正当な AI エージェント ワークフローを悪用するため、悪意のある活動は通常の自動化のように見え、従来のセキュリティ ツールを回避する可能性があると警告しています。
すべての脆弱性に対してパッチがリリースされ、Cyera は発表時点で野生での悪用を報告していません。
組織が AI リスクを軽減する方法
研究者は、エージェント権限の制限、公開環境の保護、ランタイム活動の監視、および侵害された認証情報またはプラグインの影響を軽減することを含む、階層化されたセキュリティ アプローチを推奨しています。
組織は、AI エージェントが機密システムとどのように相互作用するかを確認し、AI 駆動ワークフローに対応するようにインシデント対応プロセスを更新する必要があります。
- 最新のパッチを適用し、公開されているインターネット対応展開を特定します。
- 認証コントロール、MFA、ファイアウォール ルール、およびネットワーク セグメンテーションを使用して、OpenClaw 環境へのアクセスを制限します。
- OpenClaw エージェントまたは接続されたワークフローにアクセス可能なAPIキー、ベアラー トークン、およびその他の認証情報をローテーションします。
- 最小権限アクセス コントロールを適用し、別のサービス アカウントを使用してエージェントの機密システムおよびデータへのアクセスを制限します。
- AI エージェント ワークフローに接続されたプラグイン、プロンプト、SaaS 統合、および外部サプライ チェーン入力を監査します。
- 異常なファイル アクセス、権限エスカレーション、サンドボックスエスケープの試み、または疑わしいアウトバウンド トラフィックについてエージェント ランタイム活動を監視します。
- AI エージェント、認証情報盗難、プロンプト インジェクション、および自律システム侵害を含むシナリオでインシデント対応計画をテストします。
これらの対策は、AI エージェント環境と接続されたエンタープライズ システム全体のレジリエンスを向上させ、露出を減らすのに役立ちます。
AI エージェントはエンタープライズ リスクを拡大
Claw Chain の脆弱性は、組織が自律型 AI エージェントをエンタープライズ環境に統合する際に出現する、より広範なセキュリティ上の課題を反映しています。
AI エージェントは、既存のセキュリティ コントロールに対して合法に見える可能性のある自動化されたタスクを実行しながら、エンタープライズ システム、API、認証情報、および機密データへの直接アクセスを持つことが多いです。
研究者は、脆弱性、侵害されたプラグイン、プロンプト インジェクション攻撃、またはサプライ チェーンの問題が攻撃者が信頼できるエージェント ワークフローを悪用できるようにする場合、このレベルのアクセスは追加のリスクを生成できると指摘しました。
調査結果はまた、AI ガバナンスの重要性が高まっていることを強調しています。これには、エージェント権限、ランタイム監視、サード パーティ統合、およびエージェント プラットフォームのアイデンティティ管理に関するより強力なコントロールが含まれます。
