OpenClaw AI Agent の問題:安全ではないデフォルト設定とプロンプト・インジェクションの脆弱性

OpenClaw AI Agents Vulnerable to Indirect Prompt Injection, Causing Data Leaks

2026/03/16 gbhackers — OpenClaw AI エージェントが CNCERT から受けた警告は、安全ではないデフォルト設定とプロンプト・インジェクションの脆弱性に関するものであり、深刻なセキュリティ検証の対象となるべきものである。防御側にとって、最も深刻なリスクは単なるモデルの混乱ではない。通常の AI エージェントの動作が、データ流出パイプラインへと静かに変換される点である。コンテンツ由来の操作が、深刻な運用セキュリティ・インシデントへと急速に発展する、新たな問題を示している。

No-Click データ流出攻撃

間接プロンプト・インジェクションを悪用する、きわめて効果的な攻撃チェーンが、invaders のセキュリティ研究者たちにより実証された。

  • 最初に攻撃者は、OpenClaw エージェントが読み取ることを想定した、Web コンテンツまたは外部データ内に悪意ある命令を埋め込む。
  • これらの隠された命令を処理する AI エージェントは、攻撃者が制御する URL を生成するよう誘導される。
  • こうして侵害されたエージェントは、自身がアクセス可能な機密データを URL の query パラメータへ直接追加する。
  • Telegram や Discord などのメッセージング・プラットフォームを通じて、AI エージェントが一連の URL をユーザーへ送信すると、プラットフォームの標準機能により攻撃が支援される。
  • メッセージング・アプリは自動的にリンク・プレビューを生成し、その過程で攻撃者のドメインへ向けたアウトバウンド HTTP リクエストをサイレント送信する。それらのリクエストを受信した攻撃者は、サーバ・ログから機密データを抽出する。

このデータ流出プロセスの全体において、ユーザー操作は一切必要とされない。つまり、リンクをクリックする必要はなく、完全に自動化されたかたちでデータが窃取される。AI エージェントが深いアクセス権限を持つ場合には、悪意のプロンプト・インジェクションが実世界の被害へと直結する。

OpenClaw が有用なのは、ローカル・ファイル読み取り/タスク実行/複数サービスとの連携を、自律的に行えるからである。しかし、この広範な機能が、侵害時の影響を大きく増大させる。

OpenClaw 環境におけるリスクの増幅要因
  • メッセージング統合は、自動リンク・プレビューにより即座に no-click データ流出経路を生成する。
  • 高権限ホストまたはコンテナへのアクセス、プロンプト操作を不正なシステム操作へ変換する。
  • サードパーティ “skill” エコシステムにより、悪意のコードやレビューが不十分なコードが導入される可能性がある。
  • エージェントは、保存された機密情報/運用認証情報/API Key の近くで動作する場合が多い。
  • デフォルトの管理ポートおよび公開メッセージング・インターフェイスが、攻撃影響範囲を拡大する。
緊急防御対策

セキュリティ・チームにとって必要なことは、この脆弱性クラスを単なるモデル・バグではなく、エージェント・システムのアーキテクチャ上の問題として扱うことである。

AI エージェントが、ブラウジングと情報取得を行う場合には、防御側は外部コンテンツがエージェント操作を試みることを前提とするべきである。

OpenClaw 環境を保護するため、組織は以下の対策を実装する必要がある。

  • AI エージェントが、ユーザーに影響を及ぼす URL を送信するメッセージング・チャネルでは、リンク・プレビューを無効化または厳しく制限する。
  • OpenClaw エージェントを、厳格に制御されるコンテナ・ランタイム内へ隔離し、デフォルトの管理ポートをインターネットから遮断する。
  • サードパーティ・エージェント “skill” は、信頼できるソースのみから導入し、高機密環境では自動更新を無効化する。
  • エージェント・レスポンス直後に発生するアウトバウンド・ネットワーク・リクエストを監視し、不明ドメインへ向かうエージェント生成リンクを検知するアラートを構築する。

OpenClaw AI エージェントに存在する、ユーザーの操作を介さずに機密情報の窃取を可能にする No-Click データ流出攻撃の脆弱性が明らかになりました。この問題の原因は、外部コンテンツに含まれる悪意ある指示を、エージェントが正規の命令として実行してしまう間接プロンプト・インジェクションと、メッセージング・アプリのリンク・プレビュー機能が組み合わさった点にあります。攻撃のシナリオは極めて巧妙です。まず、Web サイトなどに隠された悪意の命令をエージェントが読み取ると、エージェントは誘導されるままに、機密データをクエリ・パラメータとして含む特殊な URL を生成します。

この URL が、Telegram や Discord などのチャット・プラットフォームに投稿されると、アプリ側がリンクの内容を表示しようとして、自動的に攻撃者のサーバへのアクセスを行います。この通信の際に、URL に含まれた機密データが攻撃者のサーバ・ログに記録されるため、ユーザーがリンクをクリックしなくても情報は静かに流出していきます。ご利用のチームは、ご注意ください。よろしければ、OpenClaw での検索結果も、ご参照ください。