急速に採用されているオープンソースの自律型AIエージェントフレームワークであるOpenClawは、3つの中程度の重大度の脆弱性に対処するためのセキュリティアップデートをリリースしました。
2026.4.20より前のnpmパッケージバージョンで見つかったこれらの複雑な欠陥は、システムを深刻なポリシーバイパス、不正なローカル設定の変更、および重大なAPI認証情報の漏洩にさらします。
IT管理者およびサイバーセキュリティ専門家は、これらの攻撃ベクトルからシステムを保護するために、エージェント展開を新しくパッチされたバージョン2026.4.20に直ちにアップグレードすることを強くお勧めされています。
脆弱性の概要
ゲートウェイ設定セキュリティバイパス
最初の脆弱性により、プロンプト注入されたモデルがオペレータガードをバイパスして信頼されたゲートウェイ設定を変更することが可能になります。
以前は、設定パッチ保護がサンドボックスポリシー、プラグイン有効化、セキュアフックルーティング、MCPサーバ設定、ファイルシステムの強化などの重要なパラメータを保護することができず、攻撃者がセキュア設定を永続的に変更することが可能でした。
これを修正するために、OpenClawは現在、エージェントごとのオーバーライドとアレイエントリパッチングを含む、より広い範囲の信頼されたオペレータパスのモデル駆動変更をアクティブにブロックします。
バンドルされたツールが制限的なポリシーを回避
2番目の脆弱性は、バンドルされたMCPおよびLSPツールが、コアフィルタリング後にエージェントのアクティブなツールセットに追加することで、確立されたセキュリティ制限を正常に回避することが関わっています。
その結果、管理者が明示的な拒否リスト、サンドボックスツールポリシー、またはオーナーのみの制限などの厳密なセキュリティプロファイルを作成したとしても、バンドルされたツールは利用可能なままで、不正なアクションを許可する可能性があります。
パッチされたリリースは、すべてのバンドルされたツールがアクティブな運用ツールセットにマージされる前に、最終的な包括的なポリシーチェックを適用することにより、これを完全に解決します。
ワークスペースオーバーライドが認証情報を露出
最後の脆弱性は、2026.4.5から2026.4.20の間のOpenClawバージョンを実行しているユーザーに影響し、ワークスペース環境変数の不適切な処理が関わっています。
悪意のあるワークスペース.envファイルは、MINIMAX_API_HOST設定を上書きして、認証されたMiniMaxリクエストを攻撃者が制御する外部サーバに静かにリダイレクトすることができます。
この攻撃は、ユーザーが侵害されたワークスペースからOpenClawを実行することが必要であり、最終的にユーザーのMiniMax APIキーを発信ネットワーク認可ヘッダで露出させます。
アップデートは、このホスト設定をワークスペース環境注入から完全にブロックし、脆弱なURLルーティング方法を削除することにより、この深刻な脅威を軽減します。
AIエージェントはしばしば第三者サービスに接続するための高レベルのアクセス許可を持っているため、ラテラルムーブメントと不正なシステムアクセスを防ぐためには、適切な認可制御が不可欠です。
これらの最近の脆弱性は明らかに、自律型エージェントフレームワーク内で厳密なシステム境界と堅牢なアクセス制御を適用することの重要性を強調しています。
管理者は、ローカル設定を保護し、API認証情報を安全に管理し、エージェントセーフティポリシーが完璧に機能することを保証するために、OpenClawパッケージをバージョン2026.4.20に直ちに更新する必要があります。
翻訳元: https://gbhackers.com/openclaw-flaws-bypass-attacks/
