すべてを変えた1週間
2026年2月24日から3月2日にかけて、OpenClawはプロジェクトのレジリエンス、コミュニティの信頼、そしてプレッシャー下での対応能力を試す一連のセキュリティインシデントに直面しました。この投稿は、何が起こったか、チームがどう対応したか、そしてその結果何が変わったかの完全な記録です。
インシデント1:ゼロクリックWebSocketハイジャック(CVE-2026-25253)
何が起こったか
2月26日、セキュリティ研究者が重大なゼロインタラクション脆弱性を公開しました:あらゆる悪意のあるウェブサイトが、ユーザーのアクションを一切必要とせず——クリックも、プラグインも、拡張機能も不要で——ユーザーのOpenClawエージェントの完全な制御を静かに奪取できるというものでした。
どのように動作したか
- 1.ユーザーが悪意のあるJavaScriptを含むウェブページを訪問します
- 2.スクリプトが
localhost上のOpenClawゲートウェイへのWebSocket接続を開きます - 3.スクリプトが毎秒数百回の試行でゲートウェイパスワードをブルートフォースします
- 4.ゲートウェイのレートリミッターがlocalhost接続を完全に免除していました——失敗した試行はカウントも、スロットルも、ログも記録されませんでした
- 5.認証されると、スクリプトは静かに信頼済みデバイスとして登録します
- 6.攻撃者が完全な制御を取得:メッセージの読み取り、コマンドの実行、ファイルへのアクセス、APIキーの窃取
対応
OpenClawセキュリティチームはこれを高重大度(CVSS 8.8)に分類し、公開から24時間以内にバージョン2026.2.25でパッチを配信しました。修正内容:
- •レートリミッティングからlocalhost免除を削除
- •WebSocketオリジンチェックを追加
- •すべてのソースからの接続試行のログ記録を導入
- •新しいデバイス登録に再認証を要求
影響
公開前の実際の悪用が確認された証拠はありませんが、脆弱性のウィンドウはおよそ6週間(v2026.1.12でlocalhost免除が導入されてから)でした。
インシデント2:ClawHubサプライチェーン危機
何が起こったか
WebSocket脆弱性と並行して、複数の企業のセキュリティ研究者が、ClawHubに掲載されているスキルのおよそ20%——約1,700のうち341が悪意あるか、疑わしい挙動を含んでいるという調査結果を発表しました。
悪意あるスキルが行ったこと
- •データの窃取: 環境変数、APIキー、会話ログを外部サーバーに静かにアップロード
- •認証情報の収集: 接続されたサービス(Slack、Discord、Gmail)の認証トークンをキャプチャ
- •バックドアの設置: ホストシステムに永続的なリバースシェルを確立
- •プロンプトインジェクション: ユーザーには正常に見えながら、攻撃者の目的に奉仕するようにエージェントの挙動を操作
対応
OpenClawはClawHubの送信パイプラインにVirusTotalスキャンを統合しました。すべての新規スキルおよびスキル更新は現在以下の処理を受けます:
- 1.VirusTotalのマルチエンジン分析によるスキャン
- 2.既知の悪意あるパターンに対する静的コード分析
- 3.昇格された権限を要求するスキルについてはヒューマンモデレーターによるレビュー後に公開
- 4.インストール前にユーザーに表示される信頼スコアのタグ付け
さらに、特定された341の悪意あるスキルはすべて削除され、その公開者はBANされ、影響を受けたユーザーに通知されました。
インシデント3:設定ファイルインフォスティーラー
何が起こったか
別のキャンペーンがソーシャルエンジニアリングを通じてOpenClawユーザーを標的にしました:GitHub、Reddit、中国の開発者フォーラムを通じて配布された偽の「最適化ガイド」や「パフォーマンスツール」に、以下を特に標的としたインフォスティーラーが含まれていました:
- OpenClaw設定ファイル(.clawrc)