重大なOpenClawの脆弱性により、悪意のあるウェブサイトはローカルで実行中のエージェントに接続し、パスワードを無制限にブルートフォース攻撃し、localhost接続への暗黙的な信頼を悪用して完全なコントロールを奪うことができました。
AIエージェントをローカルで実行することで、マシンの壁の中に安全に保管されると考えていた場合、驚くかもしれません。Oasis Securityの研究者は、悪意のあるウェブサイトがローカルで実行中のOpenClawエージェントに静かに接続し、完全なコントロールを奪うことを可能にする脆弱性チェーンを公開しました。
この問題は、「localhost」から来るものはすべて信頼できるという基本的な仮定が開発者ツールに組み込まれていることに由来しています。しかし実際には、最新のブラウザは外部ウェブサイトがローカルサービスへのWebSocket接続を開くことを許可しています。
Oasisの調査によると、悪意のあるブラウザページはOpenClawゲートウェイに静かに接続でき、そこではlocalhostを自動的に信頼し、レート制限を無効化して、高速なパスワードブルートフォース攻撃と不正なデバイスペアリングが可能になります。
「最新のウェブブラウザは多孔質の膜として機能し、信頼できない外部JavaScriptがWebSocket経由でローカルサービスへのギャップを埋めることを許可しています」とSectigo のシニアフェローのJason Sorokoは述べています。「ローカルIPアドレスに依存してレート制限からの免除を与え、デバイスペアリングを静かに自動承認することで、システムはゼロトラストアーキテクチャの中核となる原則を放棄しています。」
ハイジャックされると、攻撃者はOpenClawエージェントの高い権限を取得できます。これには、自律ワークフロー、コードベースへのアクセス、統合、認証情報が含まれます。Oasis研究者はこの脆弱性をClawJackedと呼び、CVE-2026-25253で追跡され、完全な概念実証(PoC)コードをOpenClawに報告しました。その後、OpenClawはすぐにこれを修正しました。
‘localhost’は弱点になりました
Oasis Securityの研究は、設計上の選択の組み合わせがどのように脆弱性を可能にしたかを示しました。OpenClawは、オンボーディングを合理化するために、ローカルバインディング、自動デバイスペアリング、および最小限の認証摩擦に依存していました。
localhostへのWebSocket接続は従来のクロスオリジン保護に制限されていないため、敵対的なウェブサイトはエージェントのローカルゲートウェイとの通信を開始できます。そこから、弱い認証制御とローカルオリジンへの暗黙的な信頼により、攻撃者がデバイスセッションをペアリングして、コマンドの発行を開始できます。
「際立っているのは、製品の有用性がセキュリティより速く向上したことが明らかであることです」とCequence SecurityのCISO、Randolph Barrは述べています。「設計はローカルバインディング、自動デバイスペアリング、接続の摩擦の削減を使用して、開発者の体験をできるだけスムーズにすることに焦点を当てました。これにより採用が速くなりましたが、防御的な制御も効果が低下しました。」
Noma SecurityのGal Moyalは、エージェントAIツールがセキュリティよりもシームレスな開発者体験を優先するという懸念を反映しました。彼はWebSocket localhostアクセスは既知のブラウザ動作であると指摘しましたが、「スロットルなしの認証エンドポイントとlocalhostからの自動デバイス信頼との交差は、特に危険な組み合わせを作成します。」
完全な攻撃チェーンは、被害者が悪意のあるウェブサイトにアクセスすることを含みます。その隠されたスクリプトがWebSocket経由でローカルで実行中のOpenClawゲートウェイに接続し、レート制限なしでパスワードをブルートフォース攻撃し、暗黙的なlocalhostの信頼により信頼できるデバイスとして静かに登録します。認証されると、攻撃者はAIエージェントとそのアクセス可能なデータおよび機能に対する完全なコントロールを獲得します。
より大きい影響範囲
通常のソフトウェアの脆弱性とは異なり、侵害されたAIエージェントは、機密APIキー、セッショントークン、ファイルシステムアクセス、およびエンタープライズツール全体でタスクを実行する権限を保持しているため、より大きな影響範囲を持っています。
Barrは、自律システムが「アイデンティティ、認証情報、ワークフロー権限を集約する」ことを強調しました。つまり、障害は静かには発生しません。代わりに、エージェントは「ユーザーの完全な権限で、マシン速度でマシンスケールで」アクションを実行します。開発者環境では、これはコードリポジトリの変更、内部システムへのアクセス、または自動化されたプロセスのトリガーを含む可能性があります。
Sorokoはブラウザ自体を予期しない攻撃ベクトルとして説明し、開発者の物理的な周辺を効果的に回避し、「単純なバックグラウンドタブを効果的なロックピックに変える」ことができました。Oasisは、OpenClawチームが迅速に対応し、開示を調整し、24時間以内にパッチ(OpenClaw v2026.2.25以降)をリリースしたことを指摘しました。しかし、専門家は、迅速なパッチングだけではより広い建築上のリスクに対処しない可能性があることに注意しています。AIエージェントを展開する組織は、より強力な認証、セッションペアリングの明示的なユーザー承認、レート制限、認証情報スコープ、および動作監視を実装する必要があります、と彼らは述べています。
