人気のAIエージェントプラットフォーム「OpenClaw」に、悪意あるWebサイトがローカルで動作するAIエージェントを完全に乗っ取ることができる深刻な脆弱性「ClawJacked」が発見されました。セキュリティ企業Oasis Securityの報告を受け、OpenClawは24時間以内にパッチを適用し、バージョン2026.2.25で修正をリリースしています。
この脆弱性は、OpenClawゲートウェイがlocalhostを経由したWebSocket接続を受け入れる仕組みを悪用したものです。ブラウザのクロスオリジンポリシーはlocalhostへのWebSocket接続をブロックしないため、開発者がOpenClawを起動した状態で悪意あるWebページを訪問すると、そのページ上のJavaScriptがlocalhostのOpenClawゲートウェイポートにWebSocket接続を開始します。ゲートウェイのレート制限機能がlocalhost接続を完全に免除していたため、スクリプトは毎秒数百回の試行でパスワードを総当たり攻撃できました。認証に成功すると、ゲートウェイはlocalhostからのデバイスペアリングをユーザーへの確認なしに自動承認し、攻撃者はAIエージェントの完全な制御権を取得できる状態でした。
Hacker Newsでは「AIエージェントはエンタープライズツールへの広範なアクセス権を持つため、侵害時の影響範囲が大きい」との警告が上がっています。X(旧Twitter)では、30,000以上のAIエージェントスキルの25%以上に脆弱性が含まれていたとの調査結果に衝撃が広がりました。実際、スキルマーケットプレイス「ClawHub」では10,700件のスキルのうち820件以上が悪意あるものと確認されており、Snykの調査では36.82%(1,467件)のスキルにハードコードされたAPIキーや安全でない認証情報の取り扱いなど、少なくとも1つのセキュリティ上の問題が含まれていました。
ClawHubへのスキル公開にはSKILL.mdファイルと1週間以上経過したGitHubアカウントのみが必要で、コード署名やセキュリティレビュー、デフォルトのサンドボックスは存在しません。AIエージェントの普及に伴い、サプライチェーン攻撃のリスクが高まっていることを示す事例として、開発者は利用するスキルの信頼性を慎重に検証する必要があります。