GitHubで25万スターを獲得し急成長していたオープンソースAIエージェント「OpenClaw」に、深刻なセキュリティ問題が相次いで発覚しました。CVE-2026-25253(CVSS 8.8)と呼ばれるワンクリックリモートコード実行の脆弱性により、インターネット上に公開された4万以上のインスタンスのうち63%が攻撃可能な状態にあり、すでに1万7500以上のインスタンスで悪用が確認されています。
この脆弱性は、OpenClawのコントロールUIがURLパラメータ(gatewayUrl)を無条件に信頼し、自動的に接続することで発生します。攻撃者は細工されたURLをクリックさせるだけで、被害者の認証トークンを窃取し、完全なリモートコード実行が可能になります。さらに深刻なのは、ClawHub(OpenClawのスキルマーケットプレイス)における大規模サプライチェーン攻撃です。Koi Securityの監査によると、登録されている2857件のスキルのうち341件(約12%)が悪意あるコードを含んでおり、そのうち335件は単一の組織的な攻撃キャンペーンに関連していました。Bitdefenderの調査ではさらに多い824件以上(約20%)の悪意あるスキルが発見されています。
これらの悪意あるスキルは正規のツールに偽装され、ユーザーに「前提条件」としてターミナルコマンドの実行や攻撃者のサーバーからのファイルダウンロードを促していました。macOSでは「Atomic macOS Stealer」と呼ばれるマルウェアがブラウザの認証情報、キーチェーン、SSHキー、暗号通貨ウォレットを収集していたことが判明しています。
X上ではセキュリティ研究者がエージェントAIのセキュリティモデルの根本的な問題を指摘しており、Redditのr/netsecではプロンプトインジェクション対策の難しさが活発に議論されています。Hacker Newsでは「エージェントAIセキュリティは企業の最も緊急な盲点」との声が上がり、セキュリティモデルの再考を求める意見が多数を占めています。
この事態を受け、中国国家コンピュータネットワーク緊急対応技術チーム(CNCERT)は警告を発し、中国政府機関での使用を制限しました。Metaも企業環境でのOpenClaw使用を禁止しています。OpenClawはバージョン2026.1.29で脆弱性を修正しており、すべてのユーザーに即時アップデートと認証トークンのローテーション、インストール済みスキルの監査が推奨されています。
| - [OpenClaw RCE Vulnerability (CVE-2026-25253) | ProArch](https://www.proarch.com/blog/threats-vulnerabilities/openclaw-rce-vulnerability-cve-2026-25253) |
|---|---|
| - [OpenClaw Security Guide: CVE-2026-25253 and 40+ Fixes | Bitdoze](https://www.bitdoze.com/openclaw-security-guide/) |
| - [Critical OpenClaw Vulnerability Exposes AI Agent Risks | Dark Reading](https://www.darkreading.com/application-security/critical-openclaw-vulnerability-ai-agent-risks) |