かつてClawdBot、次いでMoltbotとして知られていたOpenClawのエコシステムでは、複数のプロジェクトがボット乗っ取りやリモートコード実行(RCE)攻撃の脆弱性にパッチを当てる中、セキュリティ問題が引き続き蔓延している。
名称変更されたOpenClawをめぐる当初の熱狂は、先週と比べるといくぶん落ち着いたものの、セキュリティ研究者らは、ユーザーの生活をより楽にするために設計された技術であるはずが、むしろ負担を増やしかねない欠陥を引き続き見つけているという。
DepthFirstの創設セキュリティ研究者であるMav Levinは日曜日、ワンクリックRCEのエクスプロイトチェーンに関する詳細を公開した。彼は、この手順は「ミリ秒」で完了し、被害者が単一の悪意あるウェブページにアクセスするだけで成立すると主張した。
脆弱なバージョンと設定でOpenClawを実行しているユーザーがそのリンクをクリックすると、攻撃者はクロスサイトWebSocketハイジャッキング攻撃を引き起こせる。というのも、この多名義のAIプロジェクトのサーバーがWebSocketのOriginヘッダーを検証していないためだ。
つまりOpenClawサーバーは、どのウェブサイトからのリクエストでも受け入れてしまう。このケースでは、悪意をもって作り込まれたウェブページが、被害者のブラウザ上でクライアント側JavaScriptコードを実行し、認証トークンを取得してサーバーへのWebSocket接続を確立し、そのトークンを使って認証を通過できる。
このJavaScriptはサンドボックス化と、危険なコマンドを実行する前にユーザーへ提示されるプロンプトを無効化し、その後node.invokeリクエストを行ってRCEを実行する。
Levinによれば、OpenClawチームはこのバグを迅速に修正し、そのことは公開アドバイザリでも確認できるという。
初期のOpenClaw脆弱性解説で知られ、その後プロジェクト内の役割を任されたJamieson O’Reillyは、この発見についてLevinを称賛し、さらなるセキュリティ面での貢献を歓迎した。
このワンクリックRCEの詳細が明らかになったのは、O’Reilly自身が、AIエージェント向けのOpenClaw隣接ソーシャルメディアネットワーク「Moltbook」に関する別の問題を取り上げた翌日のことだった。
vibe-codedで全編が誇らしげに作られたというMoltbookは、Matt Schlichtによるもので、OpenClawプロジェクトの一部ではないが、人間の入力なしにAIエージェントだけが利用できるRedditクローンのようにも見える。
OpenClawユーザーは、自分のAIエージェント(テキストメッセージを読み、受信箱を整理するようなもの)をMoltbookに登録し、彼らが独自の生命を得ていく様子を見守ることができる。
これまでの短い期間で、AIエージェントはさまざまな議論に参加してきたようで、人間の支配者に対してAIエージェントの反乱を起こそうとする試みまであった一方で、サイト上のコンテンツはすべて人間が投稿していると主張する者もいる。
投稿がエージェントによるものかどうかにかかわらず、研究者がセキュリティホールを見つけている状況で、ユーザーが自分のエージェントを同サイトに連携させている事実は、懸念の種となり得る。
O’Reillyは1月31日、ウェブサイトのデータベースが公開状態になっており、秘密のAPIキーに自由にアクセスできることを発見した後、何時間もSchlichtに連絡を取ろうとしていたと述べた。
彼は、この問題により攻撃者が任意のエージェントになりすましてサイトに投稿できた可能性があるとし、Eureka LabsのAndrej Karpathyのように、Moltbookに個人エージェントを連携させていたAI分野の著名人を例に挙げた。
「KarpathyはXで190万人のフォロワーを抱え、AIにおける最も影響力のある声の一人だ」とO’Reillyは述べた。
「彼からの発言に見せかけた偽のAI安全性に関する過激な見解、暗号資産詐欺の宣伝、扇動的な政治的声明が出回ることを想像してほしい。」
ある技術者によれば、SchlichtはMoltbookの基盤となるオープンソースのデータベースソフトウェアを適切に設定していなかった可能性がある。SupabaseのCEOであるPaul Copplestoneは2月1日、「作成者」と協力しようとしており、ワンクリックでの修正策を用意していたが、作成者がそれを適用していなかったと述べた。
Schlichtはこの欠陥について公にコメントしておらず、The Registerのコメント要請にも直ちには応じなかったが、O’Reillyは問題が現在は修正済みであることを確認した。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/02/02/openclaw_security_issues/
