オープンソースAIエージェントフレームワーク「OpenClaw」に、「ClawJacked」と名付けられた深刻なセキュリティ脆弱性が発見されました。中国の国家コンピュータネットワーク緊急対応技術チーム(CNCERT)が警告を発しており、42,665インスタンス中5,194が脆弱で、93.4%が認証バイパス可能な状態にあったとのことです。
この脆弱性はCVE-2026-25253として追跡され、サイバーセキュリティ企業Oasis Securityが「ClawJacked」と命名しました。攻撃の仕組みは巧妙で、悪意あるWebページ上のJavaScriptがlocalhostのOpenClawゲートウェイポートへWebSocket接続を開き、レート制限が欠如しているためゲートウェイパスワードをブルートフォース攻撃で突破します。認証に成功すると、スクリプトは信頼されたデバイスとして静かに登録され、ゲートウェイはlocalhostからのデバイスペアリングをユーザーへの確認なしに自動承認してしまいます。
CNCERTは「OpenClawの本質的に弱いデフォルトセキュリティ設定と、自律タスク実行のための特権システムアクセスの組み合わせ」に起因すると指摘し、中国当局は国営企業や政府機関のオフィスコンピュータでのOpenClawアプリ実行を制限する措置を取りました。Hacker Newsでは「2026年最大の内部脅威」との声が上がり、ClawHubの10,700スキル中820以上が悪意あるものとの報告もあります。X上では「デフォルト設定のセキュリティが根本的に弱い」との専門家の警告が拡散しています。
OpenClawは責任ある開示を受けて24時間以内に修正を行い、2月26日にバージョン2026.2.25をリリースしました。AIエージェントの普及に伴い、セキュリティ設計の重要性が改めて浮き彫りになった事例といえます。
| - [OpenClaw AI Agent Flaws Could Enable Prompt Injection and Data Exfiltration | The Hacker News](https://thehackernews.com/2026/03/openclaw-ai-agent-flaws-could-enable.html) |
|---|---|
| - [ClawJacked: OpenClaw Vulnerability Enables Full Agent Takeover | Oasis Security](https://www.oasis.security/blog/openclaw-vulnerability) |
| - [Critical OpenClaw Vulnerability Exposes AI Agent Risks | Dark Reading](https://www.darkreading.com/application-security/critical-openclaw-vulnerability-ai-agent-risks) |