脆弱性 ClawJacked を介した攻撃を検出:悪意の Web サイトからの OpenClaw ハイジャックとデータ窃取

ClawJacked attack let malicious websites hijack OpenClaw to steal data

2026/03/01 BleepingComputer — 人気の AI エージェント OpenClaw に存在する深刻な脆弱性 ClawJacked を、セキュリティ研究者たちが公表した。この脆弱性を悪用する Web サイトが、ローカルで実行中のインスタンスへのアクセスを静かに総当たりし、制御を奪取できるという。この脆弱性を発見した Oasis Security が OpenClaw に報告し、2月26日にリリースされたバージョン 2026.2.26 で、この脆弱性に対する修正が提供されている。


OpenClaw はセルフホスト型 AI プラットフォームである。AI エージェントが複数プラットフォームにまたがり、メッセージ送信/コマンド実行/タスク管理を自律的に行うことで、急速に人気を高めている。

Oasis Security によると、OpenClaw のゲートウェイ・サービスがデフォルトで localhost にバインドし、WebSocket インターフェイスを公開していることに、この脆弱性は起因するという。

ブラウザのクロス・オリジン・ポリシーは、localhost への WebSocket 接続を遮断しない。そのため、OpenClaw ユーザーが悪意の Web サイトを訪問すると、JavaScript によりローカル・ゲートウェイへの接続が密かに確立され、警告なしに認証試行が行われる。

OpenClaw には、総当たり攻撃を防止するためのレート制限が含まれている。しかし、ローカル CLI セッションが誤ってロックアウトしないために、ループバック・アドレス (127.0.0.1) はデフォルトで除外される設計となっている。

研究者たちが確認したのは、失敗試行がスロットリングやログ記録されることなく、毎秒数百回の速度で OpenClaw の管理パスワードを総当たりできることだ。正しいパスワードが推測されると、ゲートウェイは localhost からのデバイス・ペアリングをユーザー確認なしで自動承認するため、攻撃者による信頼済みデバイスとしての登録が静かに行われる。

Oasis は、「当社のラボ検証では、ブラウザの JavaScript のみで毎秒数百回のパスワード推測を持続的に実行できた。その速度では、一般的なパスワード・リストは 1 秒未満で推測され、大規模なディクショナリーでも数分しか要さない。つまり、人間が設定したパスワードでは太刀打ちできない」と説明している。

認証済みセッションと管理者の権限を取得した攻撃者は、AI プラットフォームと直接の対話が可能になる。それにより、クレデンシャルのダンプ/接続ノード一覧取得/クレデンシャル窃取/アプリケーションログ閲覧などに至る恐れがある。

Oasis によると、侵害に成功した攻撃者はエージェントに指示することで、メッセージ履歴からの機密情報の検索/接続デバイスから外部へのファイルの送信/ペアリング済みノードでの任意のシェル・コマンドの実行が可能であるという。

このような状況は、ブラウザタブから引き起こされるワークステーションへの完全侵害に、実質的に相当する。

Oasis が共有したものには、この OpenClaw 脆弱性を介して機密データを窃取する攻撃のデモがある。


Oasis から OpenClaw への報告には、技術的詳細および PoC コードが含まれており、その情報公開から 24 時間で問題は修正された。

今回の修正では WebSocket セキュリティ・チェックが強化され、レート制限除外の設定がある場合でも、localhost ループバック接続を悪用する総当たりログイン/セッション乗っ取りを防止する追加保護が実装された。

OpenClaw を運用する組織および開発者にとって必要なことは、バージョン 2026.2.26 以降への速やかなアップデートにより、インスタンスの乗っ取りを防ぐことだ。

OpenClaw の急速な普及に伴い、同プラットフォームを標的とする脆弱性の悪用と攻撃の特定に、セキュリティ研究者たちは注力している。

ClawHub と呼ばれる OpenClaw リポジトリを悪用する脅威アクターたちが、情報窃取型マルウェアを展開する悪意の “skill” を配布し、悪意のコマンドをユーザーに実行させていることも確認されている。

セルフホスト型 AI プラットフォーム OpenClaw において、ブラウザを介してローカル・インスタンスの制御を完全に奪取されてしまう、深刻な脆弱性 ClawJacked (CVE-N/A) が発見/公開されました。この脆弱性は、OpenClaw のゲートウェイがデフォルトで localhost にバインドし、WebSocket 接続を公開していることに起因しています。ブラウザのセキュリティ・ポリシーは localhost への WebSocket 接続を完全に遮断しないため、ユーザーが悪意あるWebサイトを訪問すると、背後で実行されている JavaScript がローカル・ゲートウェイへの接続を密かに確立し、総当りでの管理者パスワードの推測が行われます。通常であればレート制限により防がれるべき攻撃ですが、ローカル環境からの接続は利便性のために制限から除外されていました。それにより、毎秒数百回の試行が可能となっていました。よろしければ、OpenClaw での検索結果も、ご参照ください。