人気のオープンソースAIエージェント「OpenClaw」(旧Clawdbot/Moltbot)に、深刻なセキュリティ脆弱性CVE-2026-25253が発見されました。CVSSスコア8.8の高重大度で、悪意あるWebページを訪問するだけでリモートコード実行(RCE)が可能になるゼロクリック攻撃です。攻撃者は認証トークンを窃取し、コンテナ分離を迂回してホストマシン上で直接コマンドを実行できます。
脆弱性の本質は、URLパラメータ経由でWebSocket接続先を指定でき、ユーザー確認なしに認証情報が送信されてしまう設計上の欠陥です。Shodan調査では42,665のOpenClawインスタンスがインターネットに露出しており、そのうち5,194が脆弱性を持つと検証されました。さらに衝撃的なのは、93.4%が認証バイパス可能な状態だったことです。
ClawHub(OpenClawのスキルマーケットプレイス)の監査では、当初341件の悪意あるスキルが発見され、現在は800件以上に拡大しています。これらのスキルは認証情報の窃取、会話ログの外部送信、AMOS(Atomic macOS Stealer)などのマルウェア配信を行っていました。Redditでは「ウイルス的人気からセキュリティ悪夢まで約3週間」とリアルタイムで事態が展開したと報告されています。
AIエージェントはブラウザ拡張機能と異なり、システムレベルのアクセス権限を持つことが多く、一度侵害されると被害は甚大です。OpenClawチームはパッチをリリース済みですが、この事件はAIエージェント時代の新たなセキュリティ課題を浮き彫りにしました。ユーザーは即座のアップデートと、インストール済みスキルの監査が推奨されています。
| - [OpenClaw Bug Enables One-Click RCE | The Hacker News](https://thehackernews.com/2026/02/openclaw-bug-enables-one-click-remote.html) |
|---|---|
| - [CVE-2026-25253: 1-Click RCE in OpenClaw | SOCRadar](https://socradar.io/blog/cve-2026-25253-rce-openclaw-auth-token/) |
| - [OpenClaw RCE vulnerability | runZero](https://www.runzero.com/blog/openclaw/) |