出典:Shutterstock経由のjackpress
セキュリティ研究者が、OpenClawオープンソースフレームワークに4つの新しい脆弱性を発見しました。攻撃者はこれらの脆弱性をチェーンすることで、初期アクセスを獲得し、認証情報を盗み、特権をエスカレートし、侵害されたシステムに永続的なバックドアアクセスを確立できます。
自律型AIエージェントをデプロイするためのこのフレームワークのメンテナーは、データセキュリティ企業Cyeraが先月報告した後、4つの脆弱性すべてにパッチを適用しました。Cyeraが「Claw Chain」と名付けたこれらの欠陥は、2026年4月23日(2026.4.22)より前に利用可能なすべてのOpenClawバージョンに影響を与えます。
チェーン可能な4つのOpenClaw脆弱性
最も深刻な欠陥は、CVE-2026-44112で、CVSSスコアは9.6で、OpenClawのOpenShellサンドボックスのタイム・オブ・チェック/タイム・オブ・ユース競合状態(TOCTOU)から生じています。この脆弱性により、攻撃者はシステム構成ファイルを変更し、悪意のあるバックドアを設置し、最終的にホストに対する永続的なシステムレベルの制御を獲得することができます。次に最も深刻なのはCVE-2026-44115(CVSS:8.8)で、攻撃者がAPIキー、トークン、認証情報、その他の機密データにアクセスするために利用できるロジックの欠陥です。その他の2つの脆弱性はCVE-2026-44118(CVSS:7.8)で、不正なセッション検証に関連する特権昇格脆弱性であり、CVE-2026-44113(CVSS:7.8)で、攻撃者がシステム構成ファイル、APIキー、認証情報、またはその他の内部データに不正にアクセスできる別のTOCTOU脆弱性です。
「4つの脆弱性は個別には有意義ですが、それらの複合効果がより重要な話です」とCyeraは最近のレポートで述べています。「単一のサプライチェーン型の足がかりから、攻撃者は1つのエントリーポイントから3つを並列にチェーンすることができます。」
セキュリティベンダーは、攻撃チェーンが悪意のあるプラグイン、操作されたプロンプト、またはAIエージェントが通常処理する可能性のある他の外部データソースを通じて初期フットホルドを獲得した敵対者から始まる可能性があると説明しました。サンドボックス内に入った後、攻撃者は読み取りおよびコマンド実行の欠陥を使用して認証情報と機密ファイルを収集できます。その後、これらの認証情報を使用して特権昇格脆弱性を利用し、エージェント環境に対する管理者権限を取得してから、Cyeraによれば、永続的な長期アクセスのためのバックドアを設置できます。
この攻撃チェーンが特に検出しにくい理由は、各ステップがエージェント自身の正当な機能と特権を悪用しており、従来のセキュリティ監視ツールに対してアクティビティが典型的なエージェント動作に見えるためです。「エージェント自身の特権を武器化することで、敵対者はデータアクセス、特権昇格、永続化を進めます。環境内の自分の手としてエージェントを使用します。各ステップは従来のコントロールに対して通常のエージェント動作に見え、攻撃範囲を拡大し、検出を大幅に難しくします」と同社は述べています。
エージェント型AIのリスク増加
Claw Chain欠陥は、AIエージェントプラットフォームの急速な展開が企業を新しいセキュリティリスクにどのように晒しているかの最新の想起です。組織は、機密内部システム、クラウド環境、サービスとしてのソフトウェア(SaaS)アプリケーション、および特権認証情報にそれらをますます接続しています。元々Clawdbotと呼ばれ、後にMoltBotと呼ばれていたOpenClawは、昨年11月の立ち上げ以来、オープンソースAIエージェント分野でのブレークアウトプロジェクトとして急速に出現してきました。
このソフトウェアにより、ユーザーは自分のコンピュータ上でAIアシスタントを直接実行してワークフローを自動化し、アプリケーションと相互作用し、情報を管理し、管理タスクを実行し、最小限の人間の関与で複数ステップのアクションを実行できます。その機能を提供するために、プラットフォームはローカルファイル、ターミナル環境、開発者ツール、メッセージングプラットフォーム、カレンダー、API、および他の接続されたシステムにアクセスします。
しかし、ほぼその立ち上げ以来、研究者はプラットフォーム内の脆弱性とセキュリティ問題を発見し、組織は緊急ベースで対処する必要がありました。例としては、Oasis Securityが先月報告した脆弱性があります。これは攻撃者に悪意のあるウェブサイトを使用してAIエージェントをハイジャックする方法を提供していました。別のOpenClawバグはトークン盗難(CVE-2026-25253)を可能にしており、CVE-2026-24763、CVE-2026-25157、およびCVE-2026-25475などの他の欠陥がコマンドおよびプロンプトインジェクションを可能にしました。
Darktrace シニアバイスプレジデント・オフェンシブセキュリティのJustin Fierは、組織が適切なセキュリティ審査なしにOpenClawのようなテクノロジーを使用することで、攻撃者に扉を開いていると述べています。「これらの欠陥により、攻撃者が攻撃の基本段階を実行できるようになります」とFierは言います。「攻撃者は制限されたコンフィギュレーションを改ざんし、バックドアの実装を通じて侵害されたホストに永続性を確立し、その他のコンフィギュレーション変更を行うことができます。」
ユーザーがOpenClawクライアントに信頼されたアクセス許可を割り当てる可能性があるため、関連するトラフィックは正常に見え、検出が難しいと彼は述べています。「OpenClawは非常に侵襲的なアクセスが必要であり、ファイルシステム、マウス、キーボードへのアクセスなどが含まれます」と彼は指摘しています。
さらに、ユーザーは金融や健康データを含む、それを連携させたいサービスへのアクセス権を付与する必要があります。「これは侵襲的なツールであり、それに対して過度な信頼を置くことは組織が取ることができる最終的なリスクです」とFierは言います。「いくつかのCVEと悪用チェーンを積み重ねると、リスクは大幅に増加します。」
彼はまた、組織がこのタイプの使用について適切なガバナンスと可視性を確立し、事業全体のキーサービスに対して最小権限アプローチを取る必要があることをお勧めしています。
最新のDark Reading Confidentialポッドキャスト、USB侵入テストのストーリーがどのようにバイラルになったかをお見逃しなく。20年前、Dark Readingは最初のメガヒット記事を掲載しました。ペンテスターによるコラムで、クレジットユニオンの駐車場の周りに仕掛けられたサムドライブを散らしたもので、好奇心旺盛な従業員に残りをさせました。このエピソードでは、この歴史的な記事をその著者Steve Stasiukonisと一緒に振り返ります。今すぐリッスン!
翻訳元: https://www.darkreading.com/application-security/claw-chain-vulnerabilities-threaten-openclaw
