OpenClaw – IoT OT Security News

OpenClaw Skill を悪用する攻撃を検出：自律型 AI ワークフローに GhostLoader／Remcos RAT を展開

Malicious OpenClaw Skill Targets Agentic AI Workflows to Deploy RATs and Stealers

2026/05/06 gbhackers — OpenClaw エージェントの Skill エコシステムを悪用する、Remcos RAT／GhostLoader と呼ばれるクロス・プラットフォーム型インフォ・スティーラーを配信する攻撃が確認された。この攻撃は、脅威アクターが “DeepSeek-Claw” と称する偽の DeepSeek 統合機能の内側に、マルウェアを隠蔽する手口によるものである。

OpenClaw の 3件の脆弱性 CVE-N/A が FIX：ポリシー回避／コンフィグ変更などの対応

OpenClaw Flaws Expose Systems to Policy Bypass Attacks

2026/04/27 gbhackers — オープンソースの自律型 AI エージェント・フレームワーク OpenClaw は、3 件の Medium レベルの脆弱性に対応するための重要なセキュリティ更新を公開した。これらの不備は npm パッケージのバージョン 2026.4.20 未満に存在し、ポリシー回避／不正なローカル・コンフィグ変更／API 資格情報漏洩といった深刻なリスクを引き起こす。IT 管理者およびセキュリティ担当者は、最新の 2026.4.20 へと速やかにアップデートし、エージェント環境を保護すべきである。

Anthropic の方針転換：OpenClaw などの外部ツールによるClaude サブスク利用を停止

Anthropic Ends Claude Subscription Access for Third-Party Tools Like OpenClaw

2026/04/04 gbhackers — Anthropic は、サードパーティ製アプリを介した Claude サブスクリプション・サービスへのアクセスを正式に停止し、未認可の外部連携を遮断した。開発者やパワー・ユーザーが、公式エコシステム外で Claude のフロンティア・モデルとインタラクトする方法において、この措置は大きな転換点となる。Anthropic の Boris Cherny によると、この制限は 2026年4月4日の午後12時 (PT) に発効した。

OpenClaw AI Agent の問題：安全ではないデフォルト設定とプロンプト・インジェクションの脆弱性

OpenClaw AI Agents Vulnerable to Indirect Prompt Injection, Causing Data Leaks

2026/03/16 gbhackers — OpenClaw AI エージェントが CNCERT から受けた警告は、安全ではないデフォルト設定とプロンプト・インジェクションの脆弱性に関するものであり、深刻なセキュリティ検証の対象となるべきものである。防御側にとって、最も深刻なリスクは単なるモデルの混乱ではない。通常の AI エージェントの動作が、データ流出パイプラインへと静かに変換される点である。コンテンツ由来の操作が、深刻な運用セキュリティ・インシデントへと急速に発展する、新たな問題を示している。

脆弱性 ClawJacked を介した攻撃を検出：悪意の Web サイトからの OpenClaw ハイジャックとデータ窃取

ClawJacked attack let malicious websites hijack OpenClaw to steal data

2026/03/01 BleepingComputer — 人気の AI エージェント OpenClaw に存在する深刻な脆弱性 ClawJacked を、セキュリティ研究者たちが公表した。この脆弱性を悪用する Web サイトが、ローカルで実行中のインスタンスへのアクセスを静かに総当たりし、制御を奪取できるという。この脆弱性を発見した Oasis Security が OpenClaw に報告し、2月26日にリリースされたバージョン 2026.2.26 で、この脆弱性に対する修正が提供されている。

OpenClaw 2026.2.23 がリリース：Strict-Transport-Security／Claude Opus 4.6 に対応

OpenClaw Releases 2026.2.23 Released With Security Updates and New AI features

2026/02/24 CyberSecurityNews — GitHub で 215,000 件超のスターを獲得している、オープンソース・パーソナル AI アシスタントの OpenClaw が、バージョン 2026.2.23 をリリースした。今回の更新では、高度な AI 統合に加えて、セキュリティ強化が重点的に実施されている。このアップデートでは、複数の脆弱性が対処されると同時に、Claude Opus 4.6 のサポートなどの新機能が導入された。macOS／Windows／Linux 環境でローカル AI ゲートウェイを展開する、プライバシー重視ユーザーにとって、タイムリーな強化である。

Google Antigravity AI が OpenClaw ユーザーを排除：OAuth プラグインと異常トラフィック

Google Suspends OpenClaw Users from Antigravity AI After OAuth Token Abuse

2026/02/23 CyberSecurityNews — Google はオープンソース・ツール OpenClaw のユーザーに対して、同社の Antigravity AI プラットフォームへのアクセスを停止した。この措置に対して、利用規約 (ToS：Terms of Service) の強硬な適用だとする反発が高まっている。対象となったのは、OpenClaw の OAuth プラグインを利用して、補助付きの (subsidized) Gemini モデル・トークンへアクセスしていた開発者たちである。それにより、バックエンドの負荷急増とサービス劣化が引き起こされていた。

OpenClaw 悪用キャンペーンの拡大：脆弱性 CVE-2026-25253 を介した API キー窃取／マルウェア展開

Multiple Hacking Groups Exploit OpenClaw Instances to Steal API key and Deploy Malware

2026/02/22 CyberSecurityNews — 複数のハッキング・グループにより、OpenClaw (旧称 MoltBot／ClawdBot) の脆弱性 CVE-2026-25253 が広範に悪用され、悪意あるペイロードの配布／展開が引き起こされていることが判明した。OpenClaw は、現在は OpenAI に所属する Peter Steinberger により開発された、オープンソースの自律型 AI フレームワークであり、2026年1月下旬に急速に普及した後に、深刻な攻撃の標的となっている。

OpenClaw の 6 件の脆弱性が FIX：SSRF／認証不備／パス・トラバーサル

Researchers Reveal Six New OpenClaw Vulnerabilities

2026/02/19 InfoSecurity — OpenClaw が公表したのは、人気の AI アシスタントに存在する 6 件の新たな脆弱性の修正である。それらには、Server-Side Request Forgery (SSRF)／認証不備／パス・トラバーサルなどの不具合が含まれると、Endor Labs は述べている。これらの脆弱性の一部には CVE ID が付与されていないが、深刻度は Moderate から High に及ぶという。この発表は、2月18日に公開されたブログ投稿で行われた。

Cline に npm トークン・ハイジャックが発生：2月17日に悪意の cline@2.3.0 が配布された

AI Dev Tool Cline’s npm Token Hijacked by Hackers for 8 Hours

2026/02/19 CyberSecurityNews — Cline CLI npm パッケージへの攻撃が、2026年2月17日の約 8 時間にわたり発生し、懸念すべき状況が引き起こされた。侵害された publish トークンを介したインシデントが浮き彫りにするのは、開発者向けツール・エコシステムを狙うサプライチェーン攻撃リスクの拡大である。

Moltbook の脆弱性と危険性：具体的な攻撃手法と影響範囲を研究者たちが実証

Moltbook is Dangerous, but Scale Doesn’t Match the Hype: Zenity

2026/02/18 SecurityBoulevard — Moltbook は、AI エージェント同士の通信専用に設計された Reddit 風ソーシャルネットワークである。2026年1月下旬に公開されると同時に、全世界に広まった。ユーザーは自分のエージェントをサイトに接続し、他者のエージェントと会話した内容を観察している。その一方で、サイバー・セキュリティ研究者たちは、AI エージェントが本質的に抱えるセキュリティ問題を懸念している。AI エージェントは自律的に問題解決できる反面、攻撃面を拡大させる。

OpenClaw AI フレームワーク v2026.2.17 がリリース：Anthropic モデルをサポート

OpenClaw AI Framework v2026.2.17 Adds Anthropic Model Support Amid Credential Theft Bug Concerns

2026/02/18 gbhackers — 2026年初頭に広く採用され始めた OpenClaw は、オープンソースの自律型 AI アシスタントである。そのプロジェクトが、2026年02月17日にバージョン v2026.2.17 を公開した。今回のリリースでは、Anthropic の最新モデル Claude Sonnet 4.6 のサポートが追加された。OpenClaw コンフィグ・ファイルを標的とするインフォスティーラーが、クレデンシャル窃取を行っていることが研究者により確認され、セキュリティ懸念が高まる中で、今回の新バージョンがリリースされた。

OpenClaw の盗まれたコンフィグ・ファイルを取得：機密データの悪用と拡大する攻撃

Threat Actors Attacking OpenClaw Configurations to Steal Login Credentials

2026/02/17 CyberSecurityNews — パーソナル AI アシスタントの世界を標的とするサイバー犯罪者たちは、新たな攻撃対象領域を見出した。最近の調査により明らかになったのは、OpenClaw のコンフィグ・ファイルを標的にする脅威アクターが、機微な認証情報や個人データを窃取していることだ。それが示すのは、マルウェアの挙動における大幅な進化である。従来のブラウザ・ベースの認証情報窃取から、AI エージェントのアイデンティティと関連するデジタル・コンテキストの収集へと、彼らの狙いは移行している。

ClawBands という GitHub プロジェクト：OpenClaw に “human-in-the-loop” 制御を取り込む

ClawBands GitHub Project Looks to Put Human Controls on OpenClaw AI Agents

2026/02/16 SecurityBoulevard — あるソフトウェア・エンジニアが GitHub 上で公開したのは、人気を博しながら物議を醸し出している OpenClaw AI パーソナル・アシスタントに対して、人間による統制を確保するための軽量プラグインである。開発者 Sandro Munda が提供する ClawBands は、OpenClaw AI エージェント向けのセキュリティ・ミドルウェアであると説明されている。このプラグインは、AI パーソナル・アシスタントにフックし、ファイル書き込み／シェルコマンド／ネットワーク・リクエストなどに関連する、すべてのツールの実行をインターセプトする。それにより、いかなる操作においても、事前の “human-in-the-loop” 承認を確実に行わせるものである。

OpenClaw 2026.2.12 がリリース：40 件強の脆弱性への対応とセキュリティ対策の見直し

OpenClaw 2026.2.12 Released to Patch Over 40 Security Vulnerabilities

2026/02/13 gbhackers — OpenClaw チームが公表したのは、セキュリティ強化とアーキテクチャ安定性に重点を置いた、包括的アップデート・バージョンである 2026.2.12 の正式なリリースに関する情報である。このリリースでは、40 件超のセキュリティ脆弱性および安定性問題を修正しており、この AI エージェント・フレームワークにおける重要なマイルストーンとなった。

OpenClaw の RCE 脆弱性により 15,200 インスタンスが露出：数万規模の AI エージェントに影響

15,200 OpenClaw Control Panels with Full System Access Exposed to the Internet

2026/02/10 CyberSecurityNews — 急速に採用／普及が進む “エージェント型 AI エコシステム” における深刻なセキュリティ上の欠陥により、数万規模の個人／企業向けの AI アシスタントがパブリック・インターネット上に完全に露出した状態にある。2026年2月10日に SecurityScorecard STRIKE Threat Intelligence Team が発表した新たな調査によると、人気のフレームワーク OpenClaw (旧称 Moltbot) の 15,200 インスタンスが、リモート・コード (RCE) に対して脆弱であり、攻撃者がホスト・マシンを完全に制御できる状態にあるという。

AI アシスタント OpenClaw の広範なミスコンフィグ：OpenClaw インスタンス 40,000+ が露出

Researchers Find 40,000+ Exposed OpenClaw Instances

2026/02/09 InfoSecurity — 人気の AI アシスタント OpenClaw における広範なミスコンフィグにより、多数のインスタンスがパブリック・インターネット上に露出していると、SecurityScorecard が警告を発している。同社によると、旧称 Clawdbot／Moltbot として知られるツールの、露出しているインスタンス数は 40,214 件に達しており、現在も増加しているという。これらは 28,663 のユニークな IP アドレスに関連付けられている。

OpenClaw と VirusTotal が提携：”skill” に対する自動スキャンで AI エージェントを保護

OpenClaw Partners with VirusTotal to Secure AI Agent Skill Marketplace

2026/02/07 CyberSecurityNews — 2月7日に OpenClaw は、Google 傘下の VirusTotal との提携を発表し、AI エージェント・マーケットプレイスである ClawHub に公開されるすべての “skill” に対して、自動セキュリティ・スキャンを実装することを明らかにした。この統合は、新興の AI エージェント・エコシステムにおける、初の包括的なセキュリティ施策となる。

OpenClaw v2026.2.6 がリリース：安全性スキャナーと Opus 4.6／GPT-5.3-Codex のサポートを追加

OpenClaw v2026.2.6 Released With Support for Opus 4.6, GPT-5.3-Codex and Safety Scanner

2026/02/07 CyberSecurityNews — OpenClaw がリリースした v2026.2.6 は、エコシステム内で高まる悪意の “skill” に対する懸念を払拭してセキュリティを強化するためのものだ。このリリースで追加されたのは、コードの安全性スキャナーおよび、モデルのサポートであり、研究者により指摘された最近の脆弱性にも対応している。OpenClaw は、メール管理や暗号資産取引などのタスクを、WhatsApp／Telegram 経由などで管理する、ローカル AI エージェント向けのオープンソース・フレームワークである。このバージョン 2026.2.6 は、2026年2月7日に公開された。

OpenClaw 上の 3rd-Party “skill” の 17% は悪意：暗号通貨や SNS を標的に機密データを収集

17% of 3rd-Party Add-Ons for OpenClaw Used in Crypto Theft and macOS Malware

2026/02/06 hackread — 新たなオープンソース AI プロジェクトである OpenClaw が、GitHub で 16万以上のスターを獲得し、開発者コミュニティを席巻している。OpenClaw は AI ツール・ボックスであり、複数のアプリケーションにまたがってアカウント管理やタスク実行を行える。しかし、周知のとおり、大きな注目が集まる場所には、詐欺師も必ず近づいてくる。このエコシステムを調査した Bitdefender Labs の研究者たちにより、看過できない問題が明らかになった。