OpenClaw AI Framework v2026.2.17 Adds Anthropic Model Support Amid Credential Theft Bug Concerns
2026/02/18 gbhackers — 2026年初頭に広く採用され始めた OpenClaw は、オープンソースの自律型 AI アシスタントである。そのプロジェクトが、2026年02月17日にバージョン v2026.2.17 を公開した。今回のリリースでは、Anthropic の最新モデル Claude Sonnet 4.6 のサポートが追加された。OpenClaw コンフィグ・ファイルを標的とするインフォスティーラーが、クレデンシャル窃取を行っていることが研究者により確認され、セキュリティ懸念が高まる中で、今回の新バージョンがリリースされた。
新たな Anthropic モデル統合
最新バージョン v2026.2.17 へのアップデートにより、OpenClaw のモデル非依存アーキテクチャは、Anthropic が新たに公開した Claude Sonnet 4.6 をサポートするよう拡張された。これまでのユーザーは、このモデルを利用するときにエラーに直面していた。
すでに OpenClaw は、複数の Anthropic Claude モデルを API key 認証経由でサポートしており、その中には Opus/Sonnet 系も含まれている。また、拡張プロンプト・キャッシュや Anthropic の “beta 1-million-token” コンテキスト・ウィンドウへのアクセス機能も備えている。
新機能
このフレームワークでは、CLI 設定やコンフィグ・ファイル編集により、Anthropic モデルを構成できる。そこでは、キャッシュの保持期間や拡張コンテキスト機能の選択も可能である。
その一方で、Hudson Rock の研究者が報告したのは、OpenClaw のコンフィグ・ファイルを被害者の端末から外部へと、インフォスティーラーが送信することに成功した初の事例である。
このマルウェアが窃取したのは、ゲートウェイ認証トークンや、ユーザー・クレデンシャルを含む “openclaw.json”/デバイスのペアリングと署名に用いられる秘密暗号鍵を含む “device.json”/日常活動やプライベート・メッセージを保存する “memory” などの、機密ファイルである。
盗まれたゲートウェイ認証トークンを悪用する攻撃者は、外部に露出している被害者のローカル OpenClaw インスタンスへのリモート接続を可能にする。また、認証済みリクエストにおいて、他のクライアントを装うことも可能となる。
AI エージェントがエンタープライズのワークフローに深く統合される中で、脅威環境が大きく変化していること、このインシデントは示している。
セキュリティ専門家たちが警告するのは、Chrome や Telegram 向けの既存モジュールと同様に、OpenClaw ファイルを標的とする専用モジュールが、今後において開発される可能性が高いことだ。
今回の攻撃は、無差別収集型だと説明されている。インフォスティーラーが広範なファイル収集ルーチンを用いた結果として、意図せず被害者の AI エージェントにおける完全な運用環境が取得されてしまった。
OpenClaw はユーザー端末上でローカル実行され、ファイル操作やシェルコマンド実行などのフルシステム・アクセス権限を持つ。そのため、適切なセキュリティ・コンフィグが、きわめて重要になる。
OpenClaw の最新バージョン v2026.2.17 は、OpenClaw のモデル非依存アーキテクチャに対応し、Claude Sonnet 4.6 をサポートするよう拡張されました。その一方で、OpenClaw のローカル実行モデルとコンフィグ・ファイルの保護不足が懸念されています。”openclaw.json/device.json/memory” などに保存されたゲートウェイ認証トークンや秘密鍵が、既存のインフォスティーラーによる広範なファイル収集で取得可能な状態にあることが判明しています。この問題については、2026/02/17 の「OpenClaw の盗まれたコンフィグ・ファイルを取得:機密データの悪用と拡大する攻撃」を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.