ワンクリック・リモート・コード実行

2026年初頭、オープンソースのAIエージェント(Agent)であるOpenClawに、危険度の高いワンクリックリモートコード実行(One-Click Remote Code Execution: One-Click RCE)の脆弱性(CVE-2026-25253)が見つかった。この脆弱性は、Control UI の設計上の欠陥に起因しており、攻撃者はユーザーを騙してうまく構築された悪意のあるリンクをクリックさせることで、昇格した権限で認証トークンを盗み出し、最終的に被害者のデバイス上で任意のコードを実行することができます。本論文では、脆弱性の原理、攻撃チェーン、悪用コード（POC/EXP）を深く分析し、対応する修復スキームを提供します。