Web閲覧だけでAIエージェントを乗っ取り？ OpenClawに重大な欠陥：セキュリティニュースアラート

Oasis Securityは、OpenClawのゲートウェイに任意のWebサイトからローカル接続を悪用しAIエージェントを乗っ取れる欠陥を発見したと公表した。開発側は高深刻度と判断し24時間以内に修正版を公開した。

[ITmedia エンタープライズ編集部，ITmedia]

　Oasis Securityは2026年2月26日（現地時間）、オープンソースAIエージェント「OpenClaw」に、閲覧中の任意のWebサイトからローカル環境のエージェントを掌握できる脆弱（ぜいじゃく）性が存在したと発表した。開発チームは深刻度を「High」と分類し、24時間以内に修正版を公開した。

急成長AIに潜んでいた「中核部」の脆弱性　急ぎ対処を

　OpenClawは自己ホスト型のAIエージェント。公開後わずか5日で「GitHub」の「スター」は10万件を超え、急速に普及している。開発者のノートPCで動作し、メッセージングアプリやカレンダー、開発ツールと連携し、自律的にメッセージ送信やコマンド実行が可能となる。

　今回見つかった脆弱性は、プラグインや拡張機能を必要としない中核部分の問題とされる。OpenClawはローカルでWebSocketサーバ（ゲートウェイ）を起動し、認証や設定管理、ノードとの通信を担う設計となっている。ノードは「macOS」アプリや「iOS」端末などで、ゲートウェイから指示を受けてシステムコマンド実行やデータ取得をする。

　ゲートウェイがlocalhostからの接続を信頼していた点に問題がある。Webブラウザにおいて、外部サイトからlocalhostへのWebSocket接続はクロスオリジン制限で遮断されないため、ユーザーが悪意あるWebサイトを閲覧するとそのページのJavaScriptがローカルのゲートウェイに接続できる。

　この他、localhost経由のパスワード試行には回数制限やログ記録が適用されていなかった。検証ではWebブラウザのスクリプトだけで1秒間に数百回の試行が可能で、一般的なパスワードは短時間で突破できたという。認証後は自動的に信頼済みデバイスとして登録され、管理権限を取得できる。

　攻撃者はエージェントへの指示送信、設定情報の取得、接続ノードの列挙、ログの閲覧などが可能となる。「Slack」履歴の検索、APIキーの抽出、ファイルの外部送信、シェルコマンド実行に悪用されれば、開発端末全体の侵害に等しい影響が生じる恐れがある。

　Oasis Securityは詳細な技術情報とPoC（概念実証）コードを添えて開発側に報告した。修正版はバージョン2026.2.25以降に含まれており、同社は即時更新を呼びかけている。同社は併せて、組織に対しAIエージェントの利用状況把握、付与権限の監査、不要な認証情報の削除、AIエージェントを独立したIDとして管理する統制体制の整備を求めた。開発者主導で導入が進むツールはIT部門の可視性外に置かれやすく、新たな管理課題となっている。