OpenClaw Flaws Expose Systems to Policy Bypass Attacks
2026/04/27 gbhackers — オープンソースの自律型 AI エージェント・フレームワーク OpenClaw は、3 件の Medium レベルの脆弱性に対応するための重要なセキュリティ更新を公開した。これらの不備は npm パッケージのバージョン 2026.4.20 未満に存在し、ポリシー回避/不正なローカル・コンフィグ変更/API 資格情報漏洩といった深刻なリスクを引き起こす。IT 管理者およびセキュリティ担当者は、最新の 2026.4.20 へと速やかにアップデートし、エージェント環境を保護すべきである。
脆弱性の概要
- Gateway コンフィグにおけるセキュリティ回避
1 つ目の脆弱性は、プロンプト・インジェクションされたモデルがオペレータ保護機構を回避し、信頼されるゲートウェイ設定を変更できてしまうという問題である。
従来のコンフィグ・パッチ保護は、sandbox ポリシー/plugin 有効化/secure hook ルーティング/MCP サーバコンフィグ/ファイルシステム強化といった、重要パラメータに対する防御が不可能だった。その結果、攻撃者は安全な設定を永続的に変更可能であった。
この修正により OpenClaw は、エージェント単位のオーバーランや配列エントリ・パッチを含む信頼パスに対して、モデルが主導する変更をブロックできるようになる。
- バンドル・ツールによる制限ポリシー回避
2 つ目の脆弱性は、バンドルされた MCP/LSP ツールが、コアフィルタ後にエージェントのツール・セットへ追加されることで、既存のセキュリティ制限が回避されてしまう問題である。
その結果、明示的な拒否リスト/sandbox ツールポリシー/オーバーライド限定制御など厳格な設定を適用しても、バンドル・ツールは有効な状態を維持し、不正な操作が可能であった。
修正により、すべてのバンドルツールに対して最終ポリシーチェックを適用し、アクティブツールセットへ統合する前に検証する。
- Workspace オーバーライドによる資格情報の漏洩
3 つ目の脆弱性は、ワークスペース環境変数の処理不備に関係するものであり、バージョン 2026.4.5 〜 2026.4.20 に影響する。
悪意を持って作成された “workspace .env” ファイルが LLM プロバイダーの API キー MINIMAX_API_HOST 設定を上書きし、攻撃者が制御するサーバへと、認証付き MiniMax リクエストをリダイレクトすることが可能な状況にあった。
この攻撃は、侵害されたワークスペースから、ユーザーが OpenClaw を実行した場合に成立する。その結果、ネットワーク送信時の認証ヘッダを通じて MiniMax API キーが漏洩する。
今回のアップデートにより、ワークスペースからのホスト設定の注入が完全に禁止され、脆弱な URL ルーティング方式が削除された。
ーーー
AI エージェントは、サードパーティ・サービスへ接続する高権限を持つ場合が多い。そのため、ラテラル・ムーブメントや不正アクセスを防止するための、適切な認可制御が不可欠である。
これらの脆弱性が示すのは、自律エージェント・フレームワークにおける厳格な境界制御およびアクセス制御の重要性である。
管理者にとって必要なことは OpenClaw をバージョン 2026.4.20 へと速やかにアップデートし、ローカルコンフィグ保護/API 資格情報管理/エージェント安全ポリシーの正常動作を確保することである。
訳者後書:自律型 AI エージェントを支えるフレームワーク OpenClaw で発見された、権限管理や設定保護に関する脆弱性について解説する記事です。これらの問題が発生した根本的な原因は、AI モデルや外部ツールにおける、システムの重要な設定やネットワークの接続先が、開発者の意図に反して書き換えられてしまう設計上の隙にあります。具体的には、プロンプト・インジェクションにより安全な設定を無効化されたり、ワークスペース内の設定ファイルの悪用により、API キーが攻撃者のサーバへリダイレクトさせられたりするリスクがありました。AI エージェントは、外部サービスと連携するために高い権限を持つことが多いため、こうした設定の乗っ取りは、組織全体に対する深刻な侵害につながる恐れがあります。ご利用のチームは、ご注意ください。よろしければ、OpenClaw での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.