最近 OpenClaw でわずか 4 日間に 9 件のセキュリティ脆弱性が公開されました。うち 1 件は CVSS 9.9(10 点満点)の最高レベルです。Axios サプライチェーン攻撃も加わり、OpenClawを飼っている方はぜひ 10 分で健診を行いましょう。
2026 年 3 月 18 日から 21 日にかけて、セキュリティ研究者がわずか 4 日間で 9 件の OpenClaw CVE 脆弱性を公開しました。その後 3 月 31 日には Axios サプライチェーン攻撃も発覚しました。以下が全リストです。
| CVE 番号 | CVSS | 説明 | 修正バージョン |
|---|---|---|---|
| CVE-2026-22172 | 9.9 | WebSocket 接続が admin 権限を自己宣言可能 | 2026.3.12 |
| CVE-2026-32051 | 8.8 | operator.write 権限から owner への権限昇格 | 2026.3.1 |
| CVE-2026-22171 | 8.2 | Lark media ダウンロードのパストラバーサル | 2026.2.19 |
| CVE-2026-32025 「ClawJacked」 |
7.5 | ブラウザからローカル gateway へのブルートフォース攻撃 | 2026.2.25 |
| CVE-2026-32048 | 7.5 | Sandbox エスケープ — 子プロセスが制限を継承しない | 2026.3.1 |
| CVE-2026-32049 | 7.5 | 巨大 media payload による DoS | 2026.2.22 |
| CVE-2026-32032 | 7.0 | 信頼されていない SHELL 環境変数 | 2026.2.22 |
| CVE-2026-29607 | 6.4 | allow-always ラッパーのバイパス | 2026.2.22 |
| CVE-2026-28460 | 5.9 | シェル改行文字による allowlist バイパス | 2026.2.22 |
1.14.1 と 0.30.4 にバックドアが埋め込まれたplain-crypto-js パッケージがインストールされる各項目を確認し、チェックを入れて進捗を管理しましょう。チェック状態はブラウザに自動保存されます。
バージョン ≥ 2026.3.12 で全 9 件の脆弱性を修正できます。
openclaw --versionnpm update -g openclaw を実行CVE-2026-32025 により、公開された gateway がブラウザからブルートフォース攻撃される可能性があります。
// openclaw.json の gateway.bind を確認
{
"gateway": {
"bind": "loopback" // ← ここを確認
}
}"loopback" または "127.0.0.1""0.0.0.0" または未設定"bind": "loopback" に設定し、リモートアクセスには Tailscale か SSH tunnel を使用password モードはブルートフォース攻撃に脆弱です。
// gateway.auth.mode を確認
{
"gateway": {
"auth": {
"mode": "token" // ← ここを確認
}
}
}"token""password""mode": "token" に変更見知らぬ人が Agent をトリガーするのを防ぎます。
// channels.telegram の設定を確認
{
"channels": {
"telegram": {
"dmPolicy": "allowlist",
"allowFrom": ["あなたの Telegram ID"]
}
}
}dmPolicy: "allowlist" + allowFrom を設定dmPolicy: "open" またはグループで allowFrom 未設定allowFrom を追加し、自分の ID のみ許可CVE-2026-28460 と CVE-2026-29607 でコマンド承認をバイパスされる可能性があります。
// tools.exec.security を確認
{
"tools": {
"exec": {
"security": "allowlist" // ← ここを確認
}
}
}"allowlist""full""security": "allowlist" に設定Agent がシステムの重要ファイルを読み書きするのを防ぎます。
// tools.fs.workspaceOnly を確認
{
"tools": {
"fs": {
"workspaceOnly": true // ← ここを確認
}
}
}truefalse または未設定"workspaceOnly": true に設定悪意のある Axios バージョンは RAT トロイの木馬をインストールします。
# axios バージョンを確認
npm list axios | grep -E "1.14.1|0.30.4"
# 悪意のあるパッケージを確認
ls node_modules/plain-crypto-js
# RAT を確認(macOS)
ls /Library/Caches/com.apple.act.mond
# RAT を確認(Linux)
ls /tmp/ld.pyすべての重要設定を一覧で確認。緑 = 安全、赤 = 危険。
| 設定 | ✅ 安全な値 | ❌ 危険な値 |
|---|---|---|
| バージョン | ≥ 2026.3.12 | < 2026.3.12 |
| gateway.bind | loopback | 0.0.0.0 |
| gateway.auth.mode | token | password |
| telegram.dmPolicy | allowlist | open |
| tools.exec.security | allowlist | full |
| tools.fs.workspaceOnly | true | false |
| axios バージョン | ≠ 1.14.1, 0.30.4 | 1.14.1 または 0.30.4 |
慌てず、以下の手順に沿って対処してください。
@BotFather で再生成)npm update -g openclawAxios の悪意のあるバージョンの痕跡(RAT ファイルの存在)が見つかった場合、マシンが完全に侵害されている可能性があります。上記の手順に加えて、ローカルに保存されているすべてのキー、パスワード、token が漏洩していないかも確認してください。
脆弱性の詳細を深く理解したい方は、以下の資料をご参照ください。