OpenClaw 2026.2.12 Released to Patch Over 40 Security Vulnerabilities
2026/02/13 gbhackers — OpenClaw チームが公表したのは、セキュリティ強化とアーキテクチャ安定性に重点を置いた、包括的アップデート・バージョンである 2026.2.12 の正式なリリースに関する情報である。このリリースでは、40 件超のセキュリティ脆弱性および安定性問題を修正しており、この AI エージェント・フレームワークにおける重要なマイルストーンとなった。
このアップデートは、初回のコード・マージからわずか 5 時間後に公開されており、パッチ適用の緊急性を示している。重大な改善は、gateway/sandbox の分離と、WhatsApp/Discord/Slack などの複数のプロバイダーとの統合に関するものである。
重要なセキュリティ強化と SSRF 対策
このリリースで対処された最も深刻な問題の一つは、gateway の URL 処理における Server-Side Request Forgery (SSRF) リスクである。
開発チームは、input_file および input_image パラメータを強化し、明示的な拒否ポリシーとホスト名に対する許可リストを実装した。
| Component | Vulnerability Type | Description | Attribution |
|---|---|---|---|
| Gateway | SSRF | Hardened URL handling with explicit deny policy and hostname allowlists. | Internal |
| Hooks | Malicious Code | Removal of the bundled soul-evil hook component. | @Imccccc |
| API | Auth Bypass | Fix for unauthenticated Nostr profile API remote config tampering. | @coygeek |
| Sandbox | Path Traversal | Confined skill sync destinations to prevent filesystem escapes. | @1seal |
| Web Tools | Prompt Injection | Stripped toolResult.details to reduce replay attack surface. | Internal |
| BlueBubbles | Auth Bypass | Fixed webhook authentication bypass via loopback proxy trust. | @coygeek |
この変更により、エージェントを操作する攻撃者が、内部ネットワーク・リソースにアクセスすることが防止される。さらに、リクエストごとの URL 入力上限を厳格に設定し、DoS ベクターを軽減している。
エンジニアリング・チームは、soul-evil (PR #14757) と識別されたバンドル・フックを削除した。この対応により、コードベースに意図せず残存していた、潜在的なバックドアや悪意のコンポーネントが排除される。
また、Nostr profile API における未認証リモート・コンフィグ改竄の脆弱性 (PR #13719) も修正された。この脆弱性を悪用する未承認アクターは、リモートからエージェント設定を変更できる状態にあった。
さらなるエージェント実行環境の保護のために、OpenClaw 2026.2.12 では、”skill” の同期/実行の方法が改良された。
| Integration | Key Update | Security/Stability Impact |
|---|---|---|
| MIME Type Defaults | Ensures voice messages are handled correctly when types are omitted. | |
| Slack | Command Detection | Detects control commands even when prefixed with bot mentions. |
| Signal | Input Validation | Enforces E.164 validation to catch mistyped numbers early. |
現時点におけるシステムは、ミラーされたスキルの保存先を、”skills/” ルート・ディレクトリに厳格に限定するようになった。これにより、frontmatter 制御名称を悪用するサンドボックス・エスケープ型のディレクトリ・トラバーサル攻撃を防止する。
ブラウザおよび Web コンテンツ処理も、”デフォルトで非信頼” とするモデルへ移行した。トランスクリプト圧縮時に言語モデルへ再送される入力から、toolResult.details を削除するようになった。
これにより、悪意の Web コンテンツがコンテキスト・ウィンドウに隠し命令を挿入し、将来のエージェント挙動を操作するプロンプト・インジェクション・リプレイ攻撃のリスクが低減される。
このリリースでは、POST “/hooks/agent” エンドポイントに対して、必要な breaking change を導入した。デフォルトでは sessionKey 上書きペイロードを拒否することで、セッション・ハイジャックを防止する。
旧来の挙動が必要な管理者は、”hooks.allowRequestSessionKey: true” を明示的に設定する必要があるが、OpenClaw チームが推奨するのは、固定 hook コンテキストの使用である。
ブラウザ制御に関する認証も強化された。ループバック browser control ルートに対して認証を必須化し、起動時に認証トークンが存在しない場合には自動生成するようになった。
これにより、認証情報を持たないローカル攻撃者による、browser control インターフェイスの乗っ取りが防止される。
AI エージェント・フレームワーク OpenClaw において、セキュリティ基盤を抜本的に強化する大規模なアップデートが公開されました。これまでの問題の原因は、外部からの入力値 (URL やファイル名) に対する検証が不十分であり、AI が本来アクセスすべきでない内部ネットワークや、システム上の重要なディレクトリにまで手を伸ばせてしまう “ガードレールの欠如” にありました。これにより、悪意のある Web サイトを読み込ませるだけで内部情報を盗み出される SSRF や、OS の制限を越えてファイルを操作されるディレクトリ・トラバーサルなどの深刻なリスクが生じていました。
脆弱性の観点では、今回は 40 件以上の不備が修正されています。この中には、”soul-evil” と呼ばれる悪意のコードの混入排除や、未認証で設定を書き換えられる API の欠陥も含まれています。ご利用のチームは、アップデートをご検討ください。よろしければ、2026/02/07 の「OpenClaw v2026.2.6 がリリース:安全性スキャナーと Opus 4.6/GPT-5.3-Codex のサポートを追加」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.