人気AIアシスタント「OpenClaw」の広範な設定ミスにより、多くのインスタンスがパブリック向けインターネットに露出していると、SecurityScorecardが警告した。
同セキュリティベンダーによると、以前はClawdbotおよびMoltbotとして知られていたこのツールのインスタンスを40,214件発見したという。ただし、この数はなお増加している。これらは28,663のユニークなIPアドレスに関連付けられている。
露出したAIエージェントにより、脅威アクターが、OpenClawインスタンスが連携可能な潜在的に機微なシステムへ完全にアクセスできてしまう可能性がある。
SecurityScorecardは、こうした活動がすでに発生していることを確認した。同社は、露出したインスタンス549件を過去の侵害活動と関連付け、1,493件を既知の脆弱性と関連付けた。
観測されたデプロイメント全体のうち63%が脆弱であり、露出したインスタンス12,812件はリモートコード実行(RCE)攻撃によって悪用可能だという。これにより、脅威アクターがホストマシンを完全に乗っ取ることが可能になる。
「アクセスが集中すればするほど、単一の侵害が引き起こす被害は大きくなる。利便性に見えるものは、実際にはリスクの集中だ」とSecurityScorecardは警告した。「これは、セキュリティチームが長年にわたり クラウド ツール、 サードパーティ ソフトウェア、そしてシャドーITで見てきたのと同じパターンだ。」
OpenClawの詳細: Moltbot/OpenClawで数百の悪意ある暗号資産取引アドオンが発見。
脆弱性の悪用は起こり得るようだ。SecurityScorecardはすでにOpenClawで深刻度の高いCVEを3件発見しており、それぞれについて公開されたエクスプロイトコードが存在する。
露出の大半は中国に所在しているとみられ、次いで米国、シンガポールが続く。最も影響を受けている業界は情報サービスで、次いでテクノロジー、製造、通信となっている。
RCEに加え、OpenClawインスタンスは間接的なプロンプトインジェクションのリスクにもさらされている。これは、攻撃者が標的にメッセージを送ったり、悪意ある指示を含む隠しテキストをウェブサイトに配置したりする手口だ。エージェントがそのメッセージを読むと、所有者が気付かないまま、これらの指示に忠実に従ってしまうことが多い。
また、一部のOpenClawユーザーは、コントロールパネルを通じてサードパーティサービスに紐づくAPIキーを漏えいさせており、インスタンスのインターネット露出による影響をさらに増幅させている。
OpenClaw AIデプロイメントを保護する方法
SecurityScorecardはOpenClawユーザーに対し、インスタンスを保護するために次の手順を取るよう促した。これらはすべてのエージェント型AIに適用できるという。
- 必要なものだけを付与し、頻繁に見直し、長期間有効な権限を避けることで、アクセスを徹底的に制限する
- あらゆるエージェント、ツール、統合に対して「決して信頼せず、常に検証する」という信条に基づく ゼロトラスト の考え方を採用する
- エージェントが依存するロジック、指示、コンポーネントに注意を払う
- プロンプトインジェクションや操作のリスクを認識する。エージェントは、与えられたコンテキストが許す範囲で実行する。悪用されれば被害をもたらし得る特権 アイデンティティとして、すべてのエージェントを扱う
「こうしたものの一つを盲目的にダウンロードして、あなたの個人生活のすべてにアクセスできるシステム上で使い始めてはいけない」と、SecurityScorecardの脅威インテリジェンスおよびリサーチ担当VP、ジェレミー・ターナー氏は主張した。「ある程度の分離を組み込み、本当に新しい技術が望むとおりに動くと信頼する前に、自分自身でいくつかの実験を行うべきだ。」
翻訳元: https://www.infosecurity-magazine.com/news/researchers-40000-exposed-openclaw/
