自律型 AI エージェント OpenClawに4つの脆弱性「Claw Chain」-CVSS 9.6のサンドボックス脱出を含む4件をチェーンしてデータ窃取・権限昇格・恒久バックドア設置が可能

セキュリティニュース

投稿日時: 更新日時:

自律型 AI エージェント OpenClawに4つの脆弱性「Claw Chain」-CVSS 9.6のサンドボックス脱出を含む4件をチェーンしてデータ窃取・権限昇格・恒久バックドア設置が可能

2026年5月14日、クラウドデータセキュリティ企業Cyeraのリサーチチームが、急速に普及しているオープンソースの自律型AIエージェントプラットフォーム「OpenClaw」(旧称:Clawdbot)に発見した4件の連鎖脆弱性「Claw Chain」を公開しました。

4件の脆弱性(CVE-2026-44112・CVE-2026-44113・CVE-2026-44115・CVE-2026-44118)を段階的に連鎖させることで、攻撃者はAIエージェントを自分の「手足」として使い、データ窃取→権限昇格→恒久バックドアの設置を一連の流れで実現できます。最も深刻なCVE-2026-44112のCVSSスコアは**9.6(Critical)**です。

2026年5月時点で公開インターネットに接続しているOpenClawサーバーは6万5,000台〜18万台と推定されており、特に金融・ヘルスケアなどの機密データを扱う企業における被害リスクが高いとされています。

パッチは2026年4月23日にリリース済みで、OpenClaw version 2026.4.22への即時アップデートが推奨されています。


この記事のサマリー

  • 「Claw Chain」:4件の脆弱性を連鎖させた攻撃手法の総称。Cyeraが命名・公開(2026年5月14日)。発見者はセキュリティ研究者Vladimir Tokarev氏。
  • CVE-2026-44112(CVSS 9.6・Critical):OpenShellサンドボックスのTOCTOU(Time-of-Check/Time-of-Use)レースコンディション。サンドボックス外へのファイル書き込みを可能にし、バックドア設置・設定改ざん・恒久的な制御確立に使われる。
  • CVE-2026-44113(CVSS 7.7・High):OpenShellのTOCTOUレースコンディション。シンボリックリンク操作によってサンドボックス外のファイルを読み取り可能。認証情報・機密ファイルの窃取に使われる。
  • CVE-2026-44115(CVSS 8.8・High):コマンド検証とシェル実行の間のギャップ。heredoc内への環境変数展開を悪用してAPIキー・トークン・認証情報を露出させる。
  • CVE-2026-44118(CVSS 7.8・High):MCPループバックの権限昇格。クライアント制御可能なsenderIsOwnerフラグを認証セッションと照合せずに信頼するため、非オーナーがオーナーレベルの制御権を取得できる。
  • 攻撃は通常のエージェント動作と区別がつかない:従来のセキュリティツールで検知が困難。
  • パッチ:2026年4月23日リリース。version 2026.4.22に更新し、すべてのAPIキー・トークン・パスワードを即時ローテーションすることを推奨。

OpenClawとはどういうプラットフォームか

OpenClawは2025年後半に「Clawdbot」として登場したオープンソースの自律型AIエージェントプラットフォームです。ビジネスのタスク自動化を支援するために、スマートなコンピュータプログラムを内部のファイル・Telegram/Discord/Slack等のメッセージングアプリ・Microsoft Agent 365等のオフィスシステムに直接接続する機能を持ちます。

2026年5月時点でのOpenClawの規模と統合状況は以下の通りです。

  • ユーザー数:320万人以上
  • ChatGPT統合:OpenAIを通じたChatGPTサブスクリプションに統合済み
  • 主要採用企業:Nvidia(NemoClaw)・Tencent(ClawPro)がエンタープライズプラットフォームとして採用
  • 公開インターネット接続インスタンス:6万5,000台(Shodan調査)〜18万台(Zoomeye調査)

「AIエージェントはプライマリな実行サーフェスとなりつつあるが、その周囲のセキュリティモデルが追いついていない」とCyeraは指摘しています。


4段階の攻撃チェーン——「エージェント自身の手足」を使う攻撃

Claw Chainの本質は、各CVEが独立した脆弱性でありながら、4ステップで組み合わせることで完全な侵害を達成できる点にあります。

Step 1:初期侵入——OpenShellサンドボックス内へのコード実行

悪意あるプラグイン・プロンプトインジェクション・侵害されたサプライチェーンからの外部入力により、攻撃者はOpenShellサンドボックス内でコード実行を確立します。これがチェーンの起点となります。

Step 2:データ窃取——CVE-2026-44113 + CVE-2026-44115

CVE-2026-44113(TOCTOU ファイルシステム読み取りエスケープ)を使って、シンボリックリンク操作によりサンドボックス外の任意のファイルを読み取ります。システムファイル・認証情報・内部アーティファクトが対象になります。

CVE-2026-44115(実行許可リスト環境変数開示)を使って、コマンド検証とシェル実行の間のギャップを突き、heredoc(ヒアドキュメント)内にシェル展開トークンを埋め込むことで、検証時には安全に見えるコマンドを通じてAPIキー・アクセストークン・認証情報等を環境変数から抽出します。

Step 3:権限昇格——CVE-2026-44118

CVE-2026-44118(MCPループバック権限昇格)を使って、OpenClawが認証セッションと照合せずにクライアント制御可能な所有権フラグ(senderIsOwner)を信頼するという欠陥を悪用します。非オーナーのループバッククライアントがオーナーになりすまし、ゲートウェイ設定・cronスケジューリング・実行環境管理に対するオーナーレベルの制御権を取得します。

Step 4:恒久的な足がかり——CVE-2026-44112

CVE-2026-44112(TOCTOU ファイルシステム書き込みエスケープ・CVSS 9.6)を使って、OpenShellサンドボックス内の書き込み処理に対してレースコンディションを仕掛け、書き込み先をサンドボックスの境界外にリダイレクトします。これにより、設定ファイルの改ざん・バックドアの設置・将来のエージェント動作の変更による恒久的な制御確立が可能になります。

CVE CVSS 分類 役割
CVE-2026-44112 9.6(Critical) TOCTOU Write Escape バックドア設置・設定改ざん・永続化
CVE-2026-44113 7.7(High) TOCTOU Read Escape 機密ファイル・認証情報の読み取り
CVE-2026-44115 8.8(High) 環境変数開示 APIキー・トークン・認証情報の窃取
CVE-2026-44118 7.8(High) MCPループバック権限昇格 オーナーレベルの制御権取得

「通常のエージェント動作と区別がつかない」という検知の困難さ

Claw Chainが特に危険な理由として、Cyeraは「エージェント自身の権限を武器化することで、攻撃者はデータアクセス・権限昇格・永続化を進める——エージェントを環境内の自分たちの手足として使う。各ステップは従来のコントロールには通常のエージェント動作として見える」と説明しています。

従来のセキュリティツールはこの攻撃チェーンを検知する設計になっていません。その結果としてブラストラジウスが拡大し、検知が著しく困難になります。

Darktrace社のオフェンシブセキュリティ担当SVPであるJustin Fier氏は、ツールそのものが正常に機能していても「エージェントを侵害できれば、それは完璧な初期侵入ポイントであり、ネットワーク全体を横断するための完璧なツールになる」と警告します。

個人ユーザーにとってはプライバシーの悪夢です——財務データ・健康データ・プライベートファイルへの広範なアクセスを許可しているケースが多いためです。しかし「その同じ個人のエージェントが職場システム・業務認証情報・業務デバイスに触れる瞬間、問題はエンタープライズリスクへと変容する」とFier氏は指摘しています。


CVE-2026-44118の修正内容——senderIsOwnerの信頼モデルの再設計

CVE-2026-44118の根本原因は、OpenClawがオーナー専用ツールへの呼び出し元の認可を示すsenderIsOwnerフラグを認証セッションと照合せずに信頼していたことにあります。

OpenClawの公式アドバイザリによれば、修正内容はオーナーと非オーナー向けに別々のBearerトークンを発行することで、senderIsOwnerの値はスプーフィング可能なヘッダーからではなく認証トークンのみから導出されるように変更されました。


OpenClawを取り巻く過去の脆弱性——繰り返す問題

今回のClaw Chainは、OpenClawが直面した最初のセキュリティ問題ではありません。

2026年1月:クリティカルなRCE脆弱性(CVE-2026-25253)が発覚。ユーザーが訪問したあらゆるWebサイトが未検証のWebSocketを通じてエージェントのローカルサーバーに接触でき、クロスサイトハイジャックからフルRCEに連鎖できる問題でした。

ClawHubマーケットプレイスのセキュリティ監査(Koi Security):2,857件のスキルのうち341件が悪意あるエントリーであることが判明。認証情報を盗む攻撃として設計されていました。

また、2026年2月以降には2026.1.30以前のバージョンの既知脆弱性を標的にした攻撃が継続的に観測されています。


高リスクな対象組織と対応手順

特に影響を受けやすい環境

  • カスタマーサービスやITサポートの自動化にOpenClawを使用している組織
  • Telegram・Discord・Slack・Microsoft Agent 365等のメッセージングプラットフォームと統合している開発チーム
  • 金融サービス・ヘルスケア・法務等の規制業種(PII・PHI・特権データを含む可能性)
  • 認証やネットワーク制御なしにOpenClawをインターネットに公開しているあらゆる環境

即時対応手順

Step 1:OpenClawを最新バージョンにアップデートして、2026年4月23日リリースのversion 2026.4.22を適用してください(GHSA-5h3g-6xhh-rg6p・GHSA-wppj-c6mr-83jj・GHSA-r6xh-pqhr-v4xh・GHSA-x3h8-jrgh-p8jx の4件のアドバイザリをカバー)。

Step 2:すべての認証情報を即時ローテーションしてください。攻撃者がすでにAPIキー・トークン・パスワードをコピーしている可能性があるため、アップデート後に即座に変更が必要です。

Step 3:OpenClawのインターネット露出を審査してください。ShodanやZoomeyeで検索可能な状態で放置されているインスタンスがないか確認し、認証・ネットワークアクセス制御を適切に設定してください。

Step 4:IAM(ID・アクセス管理)基盤を強化してください。「エージェントが幅広いアクセスを持つ前に、組織は強固なIAMの基盤を必要とする」とFier氏は強調しています。セキュリティオペレーションセンターが人間とエージェントを区別でき、「その動作が人間によるものか・エージェントが代理で行ったものか・攻撃者がエージェントを悪用したものか」を特定できる態勢を整えてください。


参考情報(1次ソース)