OpenClaw 悪用キャンペーンの拡大:脆弱性 CVE-2026-25253 を介した API キー窃取/マルウェア展開

Multiple Hacking Groups Exploit OpenClaw Instances to Steal API key and Deploy Malware

2026/02/22 CyberSecurityNews — 複数のハッキング・グループにより、OpenClaw (旧称 MoltBot/ClawdBot) の脆弱性 CVE-2026-25253 が広範に悪用され、悪意あるペイロードの配布/展開が引き起こされていることが判明した。OpenClaw は、現在は OpenAI に所属する Peter Steinberger により開発された、オープンソースの自律型 AI フレームワークであり、2026年1月下旬に急速に普及した後に、深刻な攻撃の標的となっている。

そのアーキテクチャは、広範なシステム特権/永続的なメモリアクセス/機密性の高いサービスとの統合機能を許可する設計となっている。このため、認証情報窃取/データ流出の主要標的となっている。

OpenClaw の広範なデプロイメントから 72 時間以内に、この脅威アクターは複数の脆弱性を悪用し始めた。高リスクのリモート・コード実行の脆弱性 CVE-2026-25253 の悪用により、公開された管理インターフェイスを介した認証情報の収集が可能となり、サプライチェーンが汚染されることになった。

Flare のアナリストは、30,000 件超の侵害済み OpenClaw インスタンスを観測した。API キー窃取/メッセージ傍受/Telegram などの通信チャネルを介した情報窃取型マルウェアの配布に、それらのインスタンスが悪用されている。

ClawHavoc キャンペーン:サプライチェーン大量展開

最も深刻な被害をもたらしたキャンペーンの 1 つである ClawHavoc は、2026年1月29日に検出されている。このサプライチェーン攻撃では、Atomic Stealer (macOS 向け) や Windows 向けキーロガーなどの悪意のペイロードが、正規の暗号資産ツールを装って配布された。

“Hightower6eu” was used for mass automated deployments(source : Flare)
Hightower6eu” was used for mass automated deployments(source : Flare)

“セットアップ” スクリプトと称するものをインストールする過程で、ユーザーは意図することなく、フルシステム侵害を許す情報窃取型マルウェアをダウンロードしていた。これにより攻撃者は永続的メモリデータを抽出し、エンタープライズ環境全体でラテラル・ムーブメントを実行可能となった。

2026年2月上旬には、第 2 のキャンペーンである自動化された “skill” ポイズニング攻撃が、OpenClaw コミュニティ・マーケットプレイス ClawHub を介して出現した。

このプラットフォームにおける、オープンな公開モデルおよびコード・レビューの欠如により、攻撃者は HighTower6eu など一見信頼できる GitHub アカウントから、バックドア化された “skill” をアップロードした。

これらの悪意のアップデートにより、リモート・シェル・コマンドが実行され、OAuth トークン/パスワード/API キーなどがリアルタイムで流出していった。

2026年2月18日の Shodan スキャンでは、デフォルトのポート 18789 で動作する 312,000 件超の OpenClaw インスタンスが確認され、その多くが認証なしでインターネットへ公開されていた。管理インターフェイスの露出により、さらに問題が悪化している。ハニーポット展開では、露出後の数分以内の悪用試行が記録された。

Shodan search for default port 18789 on February 18, 2025( source : Flare)
Shodan search for default port 18789 on February 18, 2026 (source: Flare)

このインシデントが示すのは、自律型 AI エージェントのセキュリティにおける深刻な転換点である。組織化され迅速に適応する脅威グループが、サイバー・セキュリティより機能性を優先したエコシステムを、悪用の基盤へと変貌させている。

OpenAI が OpenClaw の開発者を受け入れる中、専門家たちが警告するのは、設計段階からのセキュリティ対策である Security-by-Design のアプローチを、今後の AI フレームワークに緊急で適用すべきという点だ。

自律型アシスタントを使用している企業と、検証している企業に対して、Flare のアドバイザリが推奨するのは、API 認証情報の保護および AI ワークロードの分離である。

2026年1月下旬の爆発的な普及からわずか数週間で、自律型 AI フレームワーク OpenClaw は、AI エージェント史上最大級のセキュリティ危機に直面しています。特に深刻なのは、リモートコード実行 (RCE) の脆弱性 CVE-2026-25253 の悪用です。この欠陥は、OpenClaw のコントロール画面 (UI) が、特定の URL パラメータを検証せずに受け入れ、ユーザーの確認なしに外部へ WebSocket 接続を開始してしまうという、クロスサイト WebSocket ハイジャックを引き起こします。この脆弱性に加えて、OpenClaw のエクステンションである “skill” エコシステムを標的とする、ClawHavoc と呼ばれる大規模なサプライチェーン攻撃も確認されています。よろしければ、2026/02/19 の「OpenClaw の 6 件の脆弱性が FIX:SSRF/認証不備/パス・トラバーサル」も、ご参照ください。