重大なセキュリティ上の見落としにより、数千のAIエージェントが公衆インターネットに対して無防備な状態になっています。
OpenClaw AIフレームワーク(旧称ClawdbotおよびMoltbot)のインスタンス15,200件が、リモートから乗っ取られる脆弱性を抱えています。
STRIKEチームは、faviconフィンガープリンティングを含むインターネット全体の偵察を用いて、82か国にわたりOpenClawコントロールパネルをホストしている約42,900の固有IPアドレスを特定しました。
従来のWebアプリケーションとは異なり、これらはユーザーに代わってタスクを実行するよう設計された自律エージェントです。
SecurityScorecardのSTRIKE脅威インテリジェンスチームは、根本的な問題が危険なデフォルト設定にあることを明らかにしています。
デフォルトでは、OpenClawは 0.0.0.0 にバインドされます。つまり、ユーザーのローカルマシンだけでなく、インターネット全体からの接続を待ち受ける状態になります。
その結果、インターネット接続さえあれば誰でもこれらのパネルを見つけられます。ユーザーが強力なパスワードを設定していない、あるいはパスワード自体を設定していない場合、攻撃者は容易に侵入できます。
OpenClawコントロールパネルの露出
ここでのリスクは「エージェント型」AIに特有です。攻撃者が通常のWebサーバーを侵害した場合、得られるのはデータへのアクセスです。
一方、OpenClawエージェントを侵害すると、得られるのは 行動 です。攻撃者はエージェントの権限を引き継ぎ、被害者の権限で操作できます。
この調査は、インスタンスが侵害されると攻撃者が以下にアクセスできることを強調しています:
- 認証情報: ~/.openclaw/credentials/ ディレクトリに保存されたAPIキー、OAuthトークン、サービスのパスワード。
- システムファイル: ~/.ssh/ 内のSSHキーやブラウザプロファイルを含む、ファイルシステムへの完全なアクセス。
- なりすまし: Telegram、Discord、WhatsAppなどのプラットフォームで、被害者としてメッセージを送信できる能力。
- 金融資産: 暗号資産ウォレットを空にしたり、認証済みブラウザセッションを制御したりできる自動化。
この露出は、深刻なソフトウェア欠陥によってさらに悪化しています。露出しているインスタンスのうち15,000件以上が、リモートコード実行(RCE)に対して脆弱です。
これには、CVE-2026-25253 (CVSS 8.8)が含まれます。これは「1クリック」脆弱性で、単一の悪意あるリンクによりユーザーの認証トークンが盗まれる可能性があります。
問題を複雑にしているのが「バージョンの断片化」です。このエコシステムには、古いソフトウェアのフォークが散在しています。
STRIKEのデータによると、インスタンスの約40%が依然として「Clawdbot Control」として識別され、さらに38.5%が「Moltbot Control」として識別されています。これは、ユーザーがより安全なバージョンへソフトウェアを更新することがほとんどないことを示しています。
脆弱なインスタンスは主要クラウドプロバイダーに集中しており、安全でないデプロイテンプレートが大規模に複製されていることを示唆しています。
翻訳元: https://gbhackers.com/15200-openclaw-control-panels-exposed/
