OpenClawのユーザーは、研究者が間接的なプロンプトインジェクション攻撃がいかに敵対者に完全なリモートコントロールを与えることができるかを明かした後、このツールの最新バージョンにアップグレードするよう促されています。
「ClawJacked」バグは、人気のあるAIアシスタントプラットフォームの高い重大度の問題です。
「その中核において、OpenClawはゲートウェイを実行します。これは操作の脳として機能するローカルWebSocketサーバーです。ゲートウェイは認証を処理し、チャットセッションを管理し、設定を保存し、AIエージェントを調整します」とOasis Securityは説明しました。
「ゲートウェイに接続されているのはノードです。これらはmacOS付属アプリ、iOSデバイス、または他のマシンである可能性があります。ノードはゲートウェイに登録し、機能を公開し、システムコマンドを実行し、カメラにアクセスし、連絡先を読み、その他のタスクを実行します。ゲートウェイは接続されたノードにコマンドをディスパッチできます。」
問題は、ゲートウェイがデフォルトでlocalhostにバインドされることです。これはローカルアクセスが本質的に信頼できると仮定しているためです。しかし、ユーザーが悪意のあるサイトにアクセスした場合、この仮定は崩れます。
レポートは、攻撃は次のようになる可能性があると説明しました:
- ページ上のJavaScriptはOpenClawゲートウェイポートのlocalhostへのWebSocket接続を開きます。これはWebSocket接続がクロスオリジンポリシーによってlocalhostへのアクセスをブロックしないため許可されます
- スクリプトはゲートウェイパスワードをブルートフォース攻撃します。毎秒数百回の試行です。ゲートウェイのレート制限はlocalhostからの接続を完全に除外しています
- 認証されると、スクリプトは静かに信頼されたデバイスとして登録されます。ゲートウェイはユーザープロンプトなしでlocalhostからのデバイスペアリングを自動承認します
これらのステップが達成されると、攻撃者はOpenClawインスタンスを完全にコントロールでき、エージェントと対話し、設定データをダンプし、接続されたデバイスをリストアップし、ログを読むことが可能になります。Oasis Securityは警告しました。
OpenClawについて詳しく読む:研究者が40,000以上のOpenClawインスタンスを見つける。
OpenClawのアップデートをユーザーに促促
研究チームはOpenClawのユーザーに版2026.2.25以降に直ちにアップグレードするよう促しており、オープンソースプロジェクトを管理するボランティアの迅速な修正を称賛しました。
しかし、これは数週間にわたって浮上した多くのOpenClawセキュリティ脅威の1つに過ぎません。多数の脆弱性と数百の悪意あるアドオン(「スキル」)がプラットフォームエコシステムで発見されており、インフォスティーラーが人気のあるAIツールをターゲットにしていることが知られている。
Oasis Securityは組織に対して推奨しました:
- 開発環境全体でどのエージェントとアシスタントが実行されているかをリストアップすることで、すべてのAI使用状況の可視化を得る
- すべてのOpenClawインスタンスを直ちに最新バージョンに更新する
- AIエージェントに付与されたアクセス権を確認し、アクティブに必要でない場合は取り消す
- インテント分析、ポリシー実装、ジャストインタイムアクセス、および「ヒューマンからエージェントからアクションまで」の完全な監査証跡に基づいた非人間IDのガバナンス戦略を確立する
翻訳元: https://www.infosecurity-magazine.com/news/clawjacked-bug-covert-ai-agent/
