OpenClaw の RCE 脆弱性により 15,200 インスタンスが露出:数万規模の AI エージェントに影響

15,200 OpenClaw Control Panels with Full System Access Exposed to the Internet

2026/02/10 CyberSecurityNews — 急速に採用/普及が進む “エージェント型 AI エコシステム” における深刻なセキュリティ上の欠陥により、数万規模の個人/企業向けの AI アシスタントがパブリック・インターネット上に完全に露出した状態にある。2026年2月10日に SecurityScorecard STRIKE Threat Intelligence Team が発表した新たな調査によると、人気のフレームワーク OpenClaw (旧称 Moltbot) の 15,200 インスタンスが、リモート・コード (RCE) に対して脆弱であり、攻撃者がホスト・マシンを完全に制御できる状態にあるという。

STRIKE チームの偵察で確認されたのは、82 カ国にわたる 42,900 のユニーク IP アドレスで、OpenClaw のコントロール・パネルが露出していることだ。それらは、安全ではないデフォルト・コンフィグにより、意図せず公開されている。パブリック・アクセスを前提とした従来の Web サーバではなく、その多くが個人用ワークステーション/クラウド・インスタンス上で稼働する、AI エージェントである。

この問題の根本的な原因は OpenClaw のデフォルト・コンフィグにあり、サービスが 127.0.0.1 (localhost) ではなく 0.0.0.0:18789 にバインドされ、すべてのネットワーク・インターフェイスで待ち受ける設定となっている点である。

その結果として、個人用の自動化ツールとして、このフレームワークを導入またはデプロイしたユーザーは、知らず知らずのうちにコントロール・パネルをインターネット全体へ公開する状況にある。STRIKE レポートは「AI エージェントにコンピュータへの完全なアクセス権を与えることは、そのコンピュータを侵害できる者すべてに、同じアクセス権を与えることに等しい」と指摘している。

特定された 53,300 インスタンスが、過去の侵害活動と相関/関連している事実により、この問題はさらに深刻化している。この事態が示唆するのは、すでに侵害済みの環境、または、高リスク行動のフラグが立てられた環境で、多数のエージェントが稼働している可能性である。

OpenClaw / Clawbot における深刻な脆弱性

この問題は、単なるコンフィグ・ミスではない。導入環境の大半を占める旧バージョンに含まれる 3 件の深刻な脆弱性により、この状況が一層悪化している。

  • CVE-2026-25253(CVSS 8.8):1 クリックRCE の脆弱性である。攻撃者が作成した悪意のリンクを OpenClaw ユーザーがクリックすると、認証トークンが窃取され、エージェントの完全な制御権が奪取される。
  • CVE-2026-25157(CVSS 7.8):macOS アプリケーションにおける SSH コマンド・インジェクションの欠陥である。悪意のプロジェクト・パスを介して、任意のコマンド実行が可能となる。
  • CVE-2026-24763(CVSS 8.8):Docker サンドボックス・エスケープの脆弱性である。PATH 操作により、コンテナ環境からの脱出とホスト・システムへアクセスが可能になる。

すでに修正版が、1月29日にリリースされたバージョン 2026.1.29 で提供されている。しかし、STRIKE のデータによると、露出しているインスタンスの 78% は、依然として “Clawbot”/”Moltbot” ブランドの旧バージョンを実行しており、これらのエクスプロイトに対して無防備な状態にある。

AI エージェントの侵害は、従来のソフトウェア脆弱性と比較して、特有かつ増幅された脅威をもたらす。エージェントは、メール閲覧/インフラ管理/コード実行をユーザーの代理として実行する設計を持つため、エージェントを掌握した攻撃者は、同等の権限を継承してしまう。研究者たちは、「エージェント型 AI は、新たな脆弱性クラスを生み出すのものではない。既存の脆弱性を引き継ぎ、その影響を増幅させる」と説明している。

侵害された OpenClaw インスタンスは、~/.ssh/ キーや、AWS などのクラウド認証情報、認証済みブラウザ・セッションといった、機密性の高いディレクトリへの即時アクセスを提供する。このアクセスを悪用する攻撃者は、企業ネットワークへのラテラル・ムーブメント/暗号資産や暗号通貨ウォレットの流出/Discord や Telegram 上でのなりすましを引き起こせる。

今回の調査で確認されたのは、Kimsuky/APT28 などの Advanced Persistent Threat (APT) グループが、これらの露出インスタンス周辺で活動している証拠である。露出したインフラの約 33.8% が、既知の脅威アクター活動と相関している。この現実が示唆するのは、これらのツールが攻撃者により使用されている可能性と、悪意のインフラ上で展開されている状況である。

STRIKE チームが、すべての OpenClaw ユーザーに対して強く求めるのは、デプロイ環境に対する保護の即時実施である。主要な対策は、RCE 脆弱性に対応したバージョン 2026.2.1 以降へ更新することである。

重要な防御ステップは以下の通りである。

  • Localhost へのバインド:外部アクセスを防止するために、コンフィグを gateway.bind: “127.0.0.1” に設定する。
  • 認証情報のローテーション:エージェント内に保存されたすべての API キー/トークンを侵害済みとみなし、直ちにローテーションを実施する。
  • セキュア・トンネルの使用:リモート・アクセスには、ポートを直接インターネットへ公開するのではなく、Tailscale/Cloudflare Tunnel などのゼロ・トラスト・トンネルを使用する。

セキュリティ・チームに対して推奨されるのは、境界ネットワークでポート 18789 をブロックし、内部ワークステーションから発信される異常なアウトバウンド C2 トラフィックを監視することである。

“Declawed” と呼ばれる公開ダッシュボードでは、脆弱なインスタンス数が 15 分ごとに更新され、リアルタイムでの修復状況がコミュニティに提供されている。

AIアシスタント OpenClaw (旧 Moltbot) のデフォルト設定と脆弱性により、数万件のシステムが危険にさらされている問題について解説する記事です。この問題の原因は、OpenClaw のデフォルト・コンフィグ (初期設定) において、外部からの接続を一切制限しない “0.0.0.0” というアドレスで待ち受ける設定になっていたことにあります。本来であれば、個人の PC で動かすツールは、外部から遮断されるべきですが、このコンフィグの状態で起動すると、インターネット上の誰もがコントロール・パネルにアクセスできる “鍵のない玄関” という状態になってしまいます。

さらに、古いバージョンには、CVE-2026-25253 (1クリック RCE)/CVE-2026-25157 (SSH 接続時のコマンド注入)/CVE-2026-24763 (Docker コンテナ・エスケープ) といった深刻な脆弱性が残存しています。AI エージェントは、メールやクラウド管理の権限を持っていることが多いため、ここを突破されると、ユーザーと同じ権限を持つことになる攻撃者に対して、システムの自由な操作を許すことになります。ご利用のチームは、ご注意ください。よろしければ、OpenClaw での検索結果も、ご参照ください。