セキュリティ研究者らは、GitHubで381,000以上のスターを獲得している人気のオープンソースAIコーディングアシスタント「OpenClaw」に、深刻度の高い脆弱性3件を発見したと発表しました。これらの脆弱性を悪用すれば、攻撃者はうまく練られたWhatsAppメッセージを送るだけで、完全なリモートコード実行を達成できるといいます。
これらの欠陥は、同ツールの環境変数のサニタイズ処理、コマンド実行に対する安全策、そしてDockerサンドボックスによる隔離の仕組みをすり抜けます。特筆すべきは、最も安全性を重視して調整された商用AIモデルの一つであるClaude Sonnet 4すら、何の抵抗も示すことなくかいくぐってしまう点です。
OpenClawは、開発者がAIエージェントをWhatsApp、Slack、Discord、Teamsといったメッセージングプラットフォームに接続し、自然言語でリクエストを送るだけで、エージェントがそれをシェルコマンド、ファイル操作、コード実行へと変換してくれるツールです。
1日あたり100,000人を超えるアクティブユーザーを抱え、開発環境に会話形式のインターフェースを求めるチームの間でお気に入りの存在となっています。しかし、その強力な実行能力こそが、今や攻撃対象領域となっているのです。
主な攻撃経路は、エージェントのバックエンドに暗黙的に付与された実行権限を悪用し、会話形式の入力を直接システムプロセスへと流し込むというものです。自動化されたパイプラインに適切な制約が欠けている場合、悪意のあるテキストプロンプトによってアプリケーションのロジックが操作され、許可されていないシステムレベルの操作が引き起こされる恐れがあります。
こうしたアーキテクチャ上の弱点は、セキュリティチームが自動テキスト処理パイプラインに対して常に警戒を怠ってはならない理由を浮き彫りにしています。この点は、重要なソフトウェア検証アップデートの際にも繰り返し強調されてきた懸念事項です。
リバースエンジニアリングによって解析されたペイロードの詳細、環境追跡ログ、そしてアーキテクチャ検証の分析結果は、Medium上の記事I Sent a WhatsApp Message to an AI Agent. It Ran My Code on the Host. | by Chinmohan Nayak | Jul, 2026 | Mediumに直接掲載されています。
この攻撃の流れは、深刻なソフトウェア隔離の脆弱性3件に分解できます。
おそらく最も印象的な発見は、ソーシャルエンジニアリングのパターンです。リバースシェルやBase64エンコードされたコマンドといった明らかに悪意のあるペイロードは、時折Claude Sonnet 4の安全フィルターを作動させました。
しかし、「インシデントレポートのために」「CI障害の再現のために」といった、もっともらしい技術的文脈で装われたリクエストは、何の疑いもなくすり抜けてしまいました。これは、パターンベースの安全性トレーニングと、文脈を踏まえた脅威推論との間に存在する重大なギャップを露呈するものです。
自然言語インターフェースが人間の指示と生のOS実行との間を橋渡しする場面がますます増えている今、堅牢なクライアント側の隔離を確保することが何よりも重要になっています。
モデルレベルのフィルタリングだけに頼っていては、多段階の悪用手口に対抗するには不十分です。この実態は、自動化されたホストセキュリティ封じ込めモデルのアーキテクチャレビューでも記録されてきた通りです。
今回の調査結果は、AIエージェントのセキュリティにおけるより広範な教訓を浮き彫りにしています。あるひとつの脅威モデル(データ持ち出し)向けに作られたサニタイズ処理が、別の脅威モデル(コードインジェクション)に対して自動的に有効になるわけではないということ、そして明らかな攻撃を想定して調整された安全性のアライメントも、一見ありふれたソーシャルエンジニアリングによって突破されうるということです。
翻訳元: https://cyberpress.org/openclaw-remote-access-tool/