OpenClaw のログ・ポイズニング脆弱性 CVE-N/A が FIX：間接プロンプト・インジェクションの恐れ

OpenClaw AI “Log Poisoning” Vulnerability Allows Malicious Content Injection

2026/02/17 CyberSecurityNews — OpenClaw は、メッセージング／クラウド・サービス／ローカル・システム・ツールへの接続を提供し、現在進行形で急成長しているオープンソース AI アシスタントである。この OpenClaw が、ログ・ポイズニングの脆弱性を修正した。この脆弱性を悪用するリモート攻撃者は、悪意のユーザー制御コンテンツをログへ注入し、その後にエージェントが取り込む可能性があった。この問題は、OpenClaw Security Advisory で文書化されており、OpenClaw バージョン 2026.2.13 未満が影響を受ける。

このリスクは、古典的なリモートコード実行とは異なるものだ。第 1 段階として、信頼されていない入力がアーティファクト (ログ) に書き込まれる。第 2 段階として、この悪意の入力が、AI エージェントのトラブル・シューティング・コンテキストとして、信頼済みの情報のように扱われる。それが、間接プロンプト・インジェクション攻撃である。

OpenClaw の “agent gateway” モデルは、強力な制御プレーンを公開し得るため、間接プロンプト・インジェクションは懸念すべき脅威となる。さらに掘り下げると、この種のセキュリティ障害は、信頼されていないデータソースと特権的な自動化が交わる場面で発生することが多い。

Eye Security が公開したアドバイザリによると、影響を受けるバージョンでは、WebSocket リクエスト・ヘッダの一部において、Origin および User-Agent が十分なサニタイズなしでログに記録されていた。

したがって、攻撃者が OpenClaw “gateway” インターフェイスに到達できる場合には、細工したヘッダ値を送信することで、この脆弱性を悪用できる。このヘッダ値は、そのままの状態でログ内に埋め込まれるため、汚染されたログが生成される。このログは、最初の接続試行の後も残存してしまう。

下流におけるログの利用方式に応じて、実際の影響は変化していく。最も深刻なシナリオは、運用者がエージェントにエラー診断を依頼し、エージェントが直近のログを推論コンテキストへ取り込むワークフローである。

この場合、注入されたコンテンツは、運用者による指示／信頼済みシステム・メッセージ／構造化レコードとして誤認され得る。結果として、トラブル・シューティング手順を誘導し、意思決定に影響を与え、イベント要約が操作される可能性がある。

Shodan で OpenClaw のデフォルト・ポート (18789) を検索すると、インターネット経由でアクセス可能な数千のインスタンスが確認できる。つまり、機会主義的なスキャンが行われた場合に広大な攻撃面をさらすことになるが、それは、いまも拡大中である。

その一方で、コンテキスト依存の悪用シナリオにおいても、ログ・ポイズニングは魅力的である。その理由は、低コストで繰り返して実行できるところにある。また、単一のメモリ破壊バグではなく、AI 層の解釈を標的とする点に特徴がある。

対策

すでに OpenClaw は、バージョン 2026.2.13 をリリースし、この問題に対処している。影響を受けるのは、バージョン 2026.2.13 未満であると、同社のアドバイザリに明示されている。

OpenClaw を運用するチームにとって必要なことは、バージョン 2026.2.13 以降への速やかなアップグレードである。その上で、”gateway” の公開状況を確認し、十分なアクセス制御が行われない状況下で、パブリック・インターネットから到達可能になっていないことを検証すべきである。

さらに、防御側において必要となるのは、エージェントが取り込む可能性のあるログを、信頼できない入力チャネルとして取り扱うことである。標準的なハードニングとして挙げられるのは、ユーザー制御ヘッダ・フィールドに対して、ログに記録する前にサニタイズ／レダクトを実施することだ。また、ヘッダ・サイズを制限することで、ペイロードに与えられる余地を削減する方式もある。

それらに加えて、”人間向けデバッグログ” と “エージェント推論入力” を分離することが重要になる。攻撃者の影響下にある生テレメトリを、モデルがデフォルトとして取り込まない設計にすべきである。

可能であれば、異常なヘッダパターンや WebSocket 接続失敗の急増を監視することが望ましい。これらはポイズニング試行の初期兆候となり得る。

この脆弱性の原因は、OpenClaw が WebSocket リクエストの Origin や User-Agent を十分にサニタイズせずに、ログへ記録していた点にあります。信頼されていない入力がログに保存され、そのログを AI エージェントがトラブルシューティングの推論コンテキストとして再利用する設計により、間接プロンプト・インジェクションが成立してしまいます。その結果、注入された悪意のコンテンツが、信頼済みの情報として扱われ、判断や操作が誘導される可能性がありました。影響が及ぶ範囲はバージョン 2026.2.13 未満であり、修正版でログ処理の問題が改善されています。ご利用のチームは、ご注意ください。よろしければ、OpenClaw での検索結果も、ご参照ください。