OpenClawの「ClawJacked」脆弱性、悪意あるサイトからAIエージェントを完全乗っ取り可能

AIエージェントプラットフォーム「OpenClaw」に、悪意あるウェブサイトがユーザーのローカル環境で動作するAIエージェントを完全に乗っ取ることを可能にする深刻な脆弱性「ClawJacked」が発見された。セキュリティ企業Oasis Securityの報告と、OpenClaw開発チームの迅速な対応により、既にパッチが適用されている。この事例は、ローカル環境と密接に連携する次世代AIツールが直面する、従来とは異なる攻撃経路を浮き彫りにした。

「ClawJacked」脆弱性の仕組み：ローカル接続の盲点を突く

Oasis Securityの公式ブログによれば、「ClawJacked」は単一のバグではなく、複数の設定不備が連鎖して生じた「脆弱性チェーン」だった。OpenClawは、ブラウザ拡張機能などと連携するために、ローカルマシン上でWebSocketゲートウェイを動作させている。ここに二つの重大な問題があった。

第一に、このローカルWebSocketゲートウェイへの接続試行にレート制限が設けられていなかった。第二に、新しいデバイスからの接続を自動的に承認する設定が可能だった。これらの条件が重なると、ユーザーが訪問した悪意あるウェブサイト上のJavaScriptが、ローカルホスト（localhost）のゲートウェイに対し、パスワードをブルートフォース攻撃で試行し続けることが可能になってしまう。成功すれば、サイトはユーザーの許可なく、そのマシン上のOpenClawエージェントへの完全なアクセス権を獲得する。

The Hacker NewsやBleeping Computerの報道によれば、この攻撃はユーザーによる拡張機能のインストールや、何らかの操作を一切必要としない。ただ悪意あるサイトを訪問するだけで、背後でAIエージェントの制御が奪われ、機密データへのアクセスや不正な操作が行われるリスクがあった。

開発チームの迅速な対応と、誇張された「4万システム侵害」説

Oasis Securityから報告を受けたOpenClaw開発チームは、24時間以内に修正パッチをリリースした。Security Affairsの記事によれば、バージョンv2026.2.25以降では、ローカルWebSocket接続に適切なレート制限が導入され、自動承認の設定も変更されている。この迅速な対応により、実際に大規模な被害が発生した公的な証拠は現時点で確認されていない。

一方、SNS上では「40,000 systems compromised（4万システムが侵害された）」というセンセーショナルな主張が流れた。しかし、Oasis Securityのレポートや各セキュリティメディアの記事を確認する限り、この数字の根拠は示されていない。これは、調査中にインターネット上に露出していたOpenClawインスタンスの数を、実際の被害数と誤解または誇張して伝えられた可能性が高い。公式情報に基づく限り、この脆弱性の「潜在的な影響範囲」は広大であったが、「確認された侵害件数」とは区別して考える必要がある。

AIエージェント時代の新たなセキュリティモデルが問われる

「ClawJacked」脆弱性が示すのは、AIエージェントという新しいパラダイムに伴う、新種のリスクだ。従来のマルウェアやフィッシングとは根本的に攻撃面が異なる。

従来のブラウザを介した攻撃は、主にブラウザサンドボックス内のデータやセッションを標的にしていた。しかし、OpenClawのようなローカルAIエージェントは、OSレベルで動作し、ファイルシステムへのアクセス権を持ち、他のアプリケーションと連携する。つまり、ブラウザという「城壁」を越えて、直接「城塞内（ローカル環境）」の強力な味方（AIエージェント）を、敵（悪意あるサイト）に寝返らせてしまう可能性が生まれたことになる。攻撃者はユーザー自身を騙す必要さえなく、ユーザーの代わりに働くはずのエージェントを直接ハッキングすればよい。

この事例は、AIエージェント開発者に対して、ローカル接続のセキュリティを単なる「内部通信」と軽視せず、外部からの攻撃を想定した設計（強固な認証、厳格なレート制限、明示的な承認フローなど）を必須とすることを強く要求している。同時に、ユーザー側も、AIエージェントツールを「便利なアプリ」としてだけでなく、高い権限を持つソフトウェアとして認識し、常に最新版へアップデートする習慣がこれまで以上に重要になった。

ユーザーが取るべき対策と、業界への示唆

現在OpenClawを利用しているユーザーが取るべき行動は明確だ。直ちにソフトウェアを最新バージョン（v2026.2.25以降）にアップデートすること。これが唯一かつ最も効果的な対策となる。

より広い視点では、この事件はローカルで動作するAIエージェントや自律型ツールを利用する全てのユーザーにとっての教訓となる。利用を開始する際には、そのツールがどのようなネットワークポートを開放し、どのような権限で動作しているのかを設定画面で確認する習慣が望ましい。不必要に高い権限や、無防備なローカルサーバー機能を有効にしたままにすべきではない。

AIが単なるチャットボットから、実際に操作を実行する「エージェント」へと進化するにつれ、そのセキュリティモデルも進化が迫られている。従来のエンドポイント保護だけでは不十分で、エージェントの行動を監視・検証するレイヤーや、異常な外部接続試行を検知する仕組みなど、新しい防御概念の構築が業界全体の課題として浮上している。「ClawJacked」は、その必要性を劇的に警告した最初の重大事例として記憶されるだろう。