OpenClaw脆弱性で管理者権限乗っ取り可能
原題: OpenClaw gives users yet another reason to be freaked out about security
なぜ重要か
企業に広く導入される AI エージェントツールの重大な脆弱性は、AI セキュリティ対策の重要性を示している。
AI エージェントツール OpenClaw に CVE-2026-33579 脆弱性が発見され、最低権限のペアリング権限から管理者権限への昇格が可能だった。深刻度は8.1-9.8点で、攻撃者は OpenClaw インスタンスを完全制御できる。開発者は今週パッチを公開したが、数千のインスタンスが既に侵害された可能性がある。
昨年11月に公開され GitHub で347,000スターを獲得した AI エージェントツール OpenClaw に深刻な脆弱性が発見された。CVE-2026-33579 と呼ばれるこの脆弱性は、深刻度が8.1から9.8点(最高10点)と評価されている。この脆弱性により、最低レベルのペアリング権限を持つ攻撃者が管理者権限へ昇格可能となる。AI アプリ開発企業 Blink の研究者によると、攻撃者はデバイスペアリング要求を無断で承認し、管理者アクセス権を取得できる。ユーザーの操作は初期ペアリング以外不要で、二次的な攻撃も必要ない。OpenClaw は設計上、ユーザーのコンピューターを制御し、Telegram、Discord、Slack、ネットワークファイル、各種アカウントにアクセスする。企業全体で使用される場合、侵害されたデバイスは全接続データソースの読み取り、認証情報の窃取、任意のツール実行、他サービスへの侵入が可能となる。開発者は今週3つの高深刻度脆弱性のパッチを公開したが、数千のインスタンスが既に侵害されている可能性がある。Meta 幹部は今年初め、チームに対し OpenClaw の業務用ラップトップでの使用を禁止し、違反者は解雇すると警告していた。