ローカルAIエージェント「OpenClaw」に深刻な脆弱性、悪意サイト閲覧で端末乗っ取りリスク

ローカル環境で動作するAIエージェント「OpenClaw」に、悪意あるウェブサイトを閲覧するだけで端末を完全に乗っ取られる可能性のある深刻な脆弱性が発見され、緊急の対応が行われた。ローカルAIはデータの秘匿性が売りの一つだが、その実行環境そのもののセキュリティが甘ければ本末転倒だ。今回の問題は、クラウドではなく「自分のPCの中」で動くAIツールに特有のリスクを浮き彫りにした。

「ClawJacked」脆弱性の概要と深刻度

セキュリティ企業のOasis Securityによれば、この脆弱性は「ClawJacked」（CVE-2026-25253）と名付けられ、深刻度は「High」に評価されている。問題の核心は、OpenClawのゲートウェイがlocalhost（127.0.0.1）からの接続を無条件に信頼する仕組みにあった。通常、localhostはユーザー自身のマシンからの接続を指すため、一定の信頼が置かれるが、この仕組みを悪用された。

具体的には、ユーザーが悪意を仕込まれたウェブサイトにアクセスすると、サイトに埋め込まれたJavaScriptが、ブラウザを通じてこの「信頼されたlocalhost接続」を悪用。OpenClawが待ち受けるWebSocketポートに直接接続し、AIエージェントを制御するコマンドを送り込むことが可能だった。これにより、攻撃者はユーザーの知らぬ間に、AIエージェントの機能を乗っ取り、任意のシステムコマンドを実行できる状態に陥っていた。

攻撃が成功した場合の影響範囲

ITmediaの報道によれば、この脆弱性が悪用された場合、攻撃者はOpenClawを媒介として、ファイルシステムへのアクセス、機密データの窃取、さらには端末上での任意のコード実行を行うことができた。OpenClawはローカル環境の様々なリソースやツール（シェル、ファイルシステム、他のローカルサービスなど）と連携する能力を持つため、その分、侵害された際の影響は甚大だ。単なるアプリケーションの不具合ではなく、端末全体の制御を奪われるリスクに直結する「乗っ取り」脆弱性であった点が極めて重大である。

開発チームの迅速な対応とユーザーが取るべき行動

脆弱性の報告を受けたOpenClawの開発チームは、24時間以内という極めて迅速な対応で修正版を公開した。修正が施されたバージョンは、2026.2.25以降または2026.2.26となる。現在OpenClawを利用している全てのユーザーは、直ちに最新版へアップデートすることが最優先の対策となる。アップデート方法は、通常のパッケージ管理システム（pip等）を用いて行える。

この修正では、localhostからの接続に対する無条件の信頼を見直し、適切な認証・認可メカニズムを導入したとみられる。単にポートを塞ぐだけではなく、正当なAIエージェントプロセスからの要求かどうかを厳密に判別する仕組みを追加したことで、同種の攻撃経路を封じ込めている。

ローカルAIエージェントのセキュリティ・アーキテクチャ再考の必要性

今回の「ClawJacked」脆弱性は、ローカルAIエージェントという比較的新しいカテゴリのソフトウェアが抱える、古典的かつ根本的なセキュリティ課題を露呈した。クラウド型AIでは、バックエンドのAPIは厳重に保護されたサーバー上で動作するが、ローカル型では強力な機能を持ったエージェントがユーザーの日常利用するデスクトップ環境で動作する。そのインターフェース（今回の場合はWebSocketを介したAPI）が外部から、たとえブラウザ経由であっても不当にアクセス可能であってはならない。

この問題は、OpenClawに限った話ではない。同様にローカルでWebサーバーやAPIサーバーを立ち上げ、ブラウザベースのUIや他のローカルアプリと連携するタイプのAIツールは数多く存在する。開発者は、機能の実現性や利便性だけでなく、「localhostの信頼モデル」が現代のブラウザを介した攻撃において如何に脆くなり得るかを再認識し、適切な認証（例えば、ランダムなトークンの発行、接続元の厳密な検証）を必ず実装する必要がある。

ユーザー側も、「ローカルで動くから安全」という盲信は捨てるべき時が来ている。特に、開発者や技術に詳しいユーザーが好んで利用するような先端的なローカルAIツールは、開発が急ピッチで進む中、セキュリティ対策が後回しにされている可能性がある。常に最新版への更新を心がけ、不審なウェブサイトの閲覧には普段以上に注意を払うという基本的なセキュリティ習慣が、自分を守ることになる。

まとめ：進化するツールと、進化しなければならないセキュリティ意識

OpenClawの「ClawJacked」脆弱性は、AIエージェントが現実世界のタスクを実行する能力を手に入れた時、その実行基盤のセキュリティが最も重要な基盤であることを思い知らせる事例となった。開発チームの迅速な修正は評価されるが、根本的には、ローカルAIというパラダイムそのもののセキュリティモデルが、業界全体で議論・標準化される段階に来ていることを示唆している。

今後、より複雑で自律性の高いローカルAIエージェントが登場するにつれ、それらが操作するリソース（メール、カレンダー、金融アプリ、IoTデバイスなど）はより重大なものになる。今回の教訓は、そうした未来のツールを開発する者、また早期に採用する者全てが、機能の可能性と同時に、それを取り巻く脅威の可能性を等しく真剣に考えなければならないということだ。ツールの進化は、それを扱う私たちの責任と意識の進化を要求している。