TNWによると、セキュリティ企業Cyeraが、OpenClawの4つの脆弱性を公表しました。
OpenClawはAIエージェント系の仕組みで、外部の指示を受けてファイル操作やネットワーク利用をするタイプのソフトです。
問題は、その内部にある OpenShell managed sandbox backend と MCP loopback runtime にあったことです。
sandboxは、ざっくり言えば「外に出ないように囲った安全な作業場」のようなもの。でも今回は、その囲い方に穴があって、攻撃者がそこから抜け出せる状態だったわけです。
しかもこの脆弱性は、1つだけで完結するのではなく、順番につなげて攻撃できるのが厄介です。
単発のバグより、チェーン攻撃のほうがはるかに危ない。これはセキュリティ界隈ではおなじみの話ですが、AIエージェントに当てはまると一気に現実味が増します。
記事では、攻撃の流れを次の4ステップで説明しています。
最初の入口は、悪意ある plugin、prompt injection、あるいは外部入力の乗っ取りです。
prompt injectionは、AIに「こう動け」と紛れ込ませる不正な指示のこと。人間から見ればただの文章でも、AIには命令として通ってしまうことがあります。
これで、まずは OpenShell sandbox 内でコード実行 を得る。
次に使われるのが CVE-2026-44113 と CVE-2026-44115。
これらは、credentials(認証情報)、secrets(秘密情報)、敏感なファイルを外に漏らすことにつながります。
ここでのポイントは、AIエージェントが普段からファイルや設定を読む権限を持っているため、攻撃者もそれをそのまま使えることです。
つまり、守る側からすると「AIが普通に読んだだけ」に見えてしまう可能性がある。ここ、かなり嫌なところです。
3段階目では CVE-2026-44118 を使って、owner-level control を取得します。
この脆弱性の本質は、OpenClawが senderIsOwner というフラグを信用してしまっていたことです。
しかもその値を、認証済みのセッションではなく、クライアント側が操作できる形で受け取っていた。
要するに、「あなたはオーナーですか?」という判定を、相手の自己申告で済ませていたようなものです。そりゃダメだよ、という話です。
修正では、owner用とnon-owner用のbearer tokenを分ける形に変え、senderIsOwner も認証トークンからのみ導くようにしています。
これはかなり筋のいい直し方だと思います。
最後に使われるのが、最も深刻な CVE-2026-44112。
これで、バックドアの設置、設定変更、永続化が可能になります。
TOCTOU(time-of-check/time-of-use)というタイプの競合バグで、
「チェックしたとき」と「実際に使ったとき」のタイミング差を突く攻撃です。
ファイルの読み書きを本来のsandboxの外に誘導できるため、隔離の意味が薄れてしまいます。
Cyeraは、この攻撃の厄介さを「AIエージェント自身の権限を武器化する」と表現しています。
これはまさにその通りで、攻撃者はエージェントを乗っ取ることで、データアクセス・権限昇格・永続化を、エージェントの“仕事”に見せかけて進められます。
ここが本当に面白くて、同時に怖いところです。
従来のセキュリティは、「不審なプロセス」「異常な通信」「変な権限昇格」を検知するのが得意でした。
でもAIエージェントがやるのは、そもそもファイルを読む、コマンドを実行する、APIを叩くといった正当な行動です。
つまり、悪意ある操作が“ふつうの仕事”に見えやすい。
これは防御側からするとかなりしんどい。
個人的には、AIエージェント時代のセキュリティは「怪しい挙動を探す」より、「どこまでやっていいかを極端に絞る」方向に寄っていくのではないかと思います。
今回が初めてではありません。
この数字、なかなか衝撃的です。
AIエージェント周辺のエコシステムは便利な一方で、スキルやプラグインの供給網まで含めると、かなり攻撃面が広いんですよね。
「便利さ」と「危なさ」がほぼ同じ場所にある感じがします。
記事では、OpenClawのユーザー数が320万人以上いるとしています。
さらに、OpenAIのChatGPT subscriptionsとの統合や、NvidiaのNemoClaw、TencentのClawProなど、企業向け展開も進んでいるとのこと。
ただし注意したいのは、NemoClawのような強化レイヤーがあっても、OpenClaw本体のsandbox実装に穴があれば影響を受けるという点です。
つまり、上にガードレールを足しても、土台が壊れていたら意味が薄い。これはクラウドでもOSでも同じで、AIでも例外ではないということです。
記事の結論はシンプルで、OpenClaw version 2026.4.22 へすぐ更新すること。
これが最優先です。
加えて、AIエージェントを使う側としては、次のような考え方が大事だと思います。
今回のClaw Chainで一番印象的なのは、攻撃が派手というより、設計の前提を静かに崩してくるところです。
sandboxは守ってくれるはず、owner判定は信頼できるはず、普通の操作なら安全なはず。
その「はず」が順番に崩れると、AIエージェントは一気に強力な侵入口になります。
率直に言うと、これはAIエージェント業界にとってかなり大きな警告だと思います。
便利だから広がる。でも広がるほど、守るべき範囲も爆増する。
AIエージェントのセキュリティは、もう“あとで足す機能”では済まない段階に入っているのではないでしょうか。
