ClawJackedは、脆弱性につけられた名前です。
対象のソフトウェアはOpenClawです。
OpenClawは、DiscordやSlack、WhatsAppなどのチャットアプリをインターフェースとして、AIがユーザーの代わりにPC上の複雑なタスク(ファイル操作、ブラウザ操作、コマンド実行など)を自動処理する、セルフホスト型のオープンソース自律型AIエージェントです。
2026年初頭に急速に普及し、GitHubで非常に高い人気を獲得した「話すだけではない」実働型のアシスタントです。
このOpwnClawで重大度の高い脆弱性が対応されたことが案内されています。
対策がされたバージョンを使用していない場合、感染は次のように進みます。
- 被害者は、通常のブラウザで脅威アクターが管理する(または侵害された)Webサイトにアクセスします。
- ページ上のJavaScriptは、OpenClawゲートウェイポート上のlocalhostへのWebSocket 接続を開きます(localhostへのWebSocket接続はクロスオリジンポリシーによってブロックされないため許可されます)。
- このスクリプトは、ゲートウェイのパスワードを毎秒数百回総当たり攻撃します。ゲートウェイのレートリミッターは、ローカルホスト接続を完全に除外します。
- 認証が完了すると、スクリプトは自動的に信頼できるデバイスとして登録します。ゲートウェイは、ユーザーに確認を求めることなく、ローカルホストからのデバイスのペアリングを自動承認します。
- 攻撃者は完全な制御権を獲得し、AIエージェントと対話したり、設定データをダンプしたり、接続されたデバイスを列挙したり、ログを読んだりできるようになります。
この手順が進む中で、PCの所有者が操作に関与する必要はありません。攻撃は勝手に進みます。
しかもこういった手順が進行していることは画面には何も表示されないため、被害者はこんなことになっていることに気がつくことができません。
たった一つのPCの所有者の操作は、こういった手の加えられた悪意あるWebサイトにアクセスしたという点のみです。
生成AIの広がりにあわせて、生成AIを便利に使うツールも多く登場しています。
この領域に注目しているのは通常の利用者だけではなかったという話です。
最近この領域のセキュリティの話題が多くみられます。
便利と危険は表裏一体ということを再度認識する必要がありそうです。
OpenClaw Vulnerability: Website-to-Local Agent Takeover
https://www.oasis.security/blog/openclaw-vulnerability
| この記事をシェア |
|
|---|
