トップ/記事一覧/人気の自作AIエージェント『OpenClaw』に乗っ取りにつながる脆弱性、検査ツールには無認証のなりすましも CVE-2026-62241ほか計10件、最新版へ更新を
openclaw-cve-cover-ja

人気の自作AIエージェント『OpenClaw』に乗っ取りにつながる脆弱性、検査ツールには無認証のなりすましも CVE-2026-62241ほか計10件、最新版へ更新を

世界中で使われる自作AIエージェント『OpenClaw』に、本来できない操作を許してしまう脆弱性が相次いで見つかりました。連携するセキュリティ検査ツールには、ログイン不要で利用者になりすませる危険度9.1の欠陥も。いずれも修正版が公開済みで、OpenClawは2026.6.9以降、検査ツールは0.7.5以降への更新が必要です。対象や直し方をまとめました。

ニュース2026年7月17日公開 本日更新
目次
この記事のポイント

世界中で使われる自作AIエージェント『OpenClaw』に、本来できない操作を許してしまう脆弱性が相次いで見つかりました。連携するセキュリティ検査ツールには、ログイン不要で利用者になりすませる危険度9.1の欠陥も。いずれも修正版が公開済みで、OpenClawは2026.6.9以降、検査ツールは0.7.5以降への更新が必要です。対象や直し方をまとめました。

チャットで話しかけるだけでAIに作業を任せられる人気のツール、『OpenClaw(オープンクロー)』に、本来できないはずの操作を許してしまう脆弱性が相次いで見つかりました。あわせて、OpenClaw向けの安全チェックツール「clawvet」には、ログインなしで他人になりすませる危険度9.1の重大な欠陥も公開されています。今回まとめて公表されたのは、OpenClaw本体の9件と、clawvet の1件を合わせた計10件です。危険度はいずれもCVSS(10段階で数字が大きいほど危険)で8.5〜9.1の範囲に入ります。

OpenClawは、GitHubのスター数が37万を超え、月に数百万人が使うとされる、いま最も話題のAIエージェント(人の代わりに自動で作業をこなすAIの仕組み)です。日本でも「LINEから自分のAIに指示を出す」使い方が紹介されており、自宅のパソコンやサーバーで動かしている人が少なくありません。今回の欠陥は修正版がすでに公開されているため、対処はソフトの更新で済みます。何が起きているのか、どの欠陥がどれくらい危険か、どのバージョンへ上げればよいかを順に説明します。

この記事の要点(3行)

  • 人気のAIエージェント「OpenClaw」に、本来より上の権限を奪える欠陥が9件。連携ツール「clawvet」には、ログイン不要で乗っ取れる危険度9.1の欠陥が1件。
  • 対象は自分でOpenClaw/clawvet を動かしている人。実際の攻撃報告や、米政府が公開する攻撃中の脆弱性リストへの登録は今のところなし。
  • OpenClawは2026.6.9以降、clawvet は0.7.5以降へ更新すれば対処完了。放置は禁物です。

そもそも「OpenClaw」とは何か

OpenClawは、自分のパソコンやサーバーで動かすタイプのAIエージェントです。LINE・Slack・Discord・Telegramといった普段使いのチャットアプリから話しかけると、その裏でAIが実際にコマンドを実行したり、ファイルを操作したりして、頼んだ作業をこなしてくれます。開発したのは、Mac向けアプリ開発で知られるPeter Steinberger氏。2026年初めの公開から一気に広まり、GitHubのスター数は37万を超えて、一時はReactを抜いて最多クラスになりました。

日本でも注目度は高く、「OpenClawでLINEからAIにMacを操作させてみた」といった解説記事や、LINE連携のセットアップ手順が数多く出ています。手軽に見えますが、実体は「自分の端末の上でAIに命令の実行権限を渡す」仕組みです。だからこそ、その権限の境界に穴があると影響が大きくなります。

もう一つの「clawvet」は、OpenClawに後から追加する拡張機能(スキル)が安全かどうかを、導入前に検査するためのツールです。OpenClawの拡張機能を配布する場所には過去に悪意ある部品が紛れ込んだこともあり、その対策として使われています。今回はその検査ツール自身に、最も危険度の高い欠陥が見つかりました。

何が問題なのか

OpenClaw本体で見つかった9件は、ざっくり言えば「本来は限られた権限しか持たないはずの相手が、その制限を超えて操作できてしまう」という種類の欠陥です。専門用語では権限昇格(けんげんしょうかく。低い権限しか持たない者が、より強い権限を勝手に得ること)や認可バイパス(許可の確認をすり抜けること)と呼ばれます。

具体的には、管理者向けの機能を一般の呼び出し元が使えてしまったり、端末をペアリング(連携登録)する際の承認を勝手に通せてしまったり、実行してよいコマンドの許可リストの照合をすり抜けられたりします。OpenClawはAIに実際のコマンドを実行させるツールなので、この種の穴は「限られた入り口しか持たない相手が、端末そのものを操れる状態」に近づくことを意味します。これらの多くは、まず何らかの形でそのOpenClawに接触できることが前提で、いきなり誰でも悪用できるわけではありません。

一方、clawvet の欠陥(CVE-2026-62241)は性質が違い、より危険です。clawvet には、本来なら各利用者ごとに秘密にすべき合言葉(ログイン状態を証明する鍵)が、誰でも中身を見られる形で初期設定として埋め込まれていました。この共通の合言葉を使えば、ログインしていない外部の人物でも、他の利用者になりすまして登録情報やAPIキー(外部サービスに接続するための鍵)を盗み見られる恐れがあります。危険度が9.1と最も高いのはこのためです。

なお、これらはOSS(誰でも中身を見られる公開ソフト)としてnpm(プログラム部品の配布倉庫)経由で広く配られている点でも注意が必要です。多くの人が同じ部品を取り込んでいるため、影響範囲を把握しにくい構造にあります。こうした配布経路での欠陥をどう見つけ、直すかは、公開ソフトの部品に潜むリスクをまとめた記事でも扱っています。

誰が、何のために狙うのか

OpenClaw本体の9件で想定される相手は、連携したチャットや招待経由で、そのOpenClawにすでに何らかの形でつながっている立場の人物です。まったくの部外者がいきなり、というより、限られた権限だけを与えられた参加者や、連携に紛れ込んだ相手が念頭にあります。

その相手は、これらの穴を使って本来は許されないはずの管理者向けコマンドの実行や、端末の連携承認を勝手に通し、最終的にはOpenClawが動くパソコンやサーバーそのものを操ろうとします。AIエージェントは、頼めばファイルを読み書きし、外部と通信し、コマンドを実行します。その実行役を乗っ取れれば、攻撃者にとっては「相手の端末で何でもできる足がかり」になります。

被害の形は立場によって変わります。個人利用者なら、端末内のファイルや、OpenClawに登録した各種サービスの鍵を抜かれ、そこを起点に別のサービスへ被害が広がる恐れがあります。会社や組織で動かしている場合は、社内ネットワークへの侵入口として使われかねません。clawvet の欠陥に至っては、外部の第三者がログインなしで利用者になりすませるため、検査ツールに預けた情報がそのまま漏れる懸念があります。だからこそ、次に示す修正版への更新を急ぐ必要があります。

見つかった脆弱性の内訳(危険度の高い順)

今回まとめて公開された10件を、危険度の高い順に整理します。いずれも脆弱性情報を提供するVulnCheckが調整・公表したものです。

CVE番号対象内容危険度修正版
CVE-2026-62241clawvet無認証での
なりすまし(鍵の埋め込み)
9.1(緊急)0.7.5
CVE-2026-62202OpenClaw定期実行を悪用した
権限の奪取
8.8(高)2026.6.9
CVE-2026-62203OpenClaw環境変数の差し込みによる
命令実行
8.8(高)2026.6.6
CVE-2026-62207OpenClaw管理者向け機能への
認可バイパス
8.8(高)2026.6.5
CVE-2026-62228OpenClaw実行承認(ノード)の
認可バイパス
8.8(高)2026.6.5
CVE-2026-62217OpenClawQQ連携での
実行承認の認可不備
8.8(高)2026.5.27
CVE-2026-62218OpenClaw端末ペアリング承認の
認可バイパス
8.8(高)2026.5.27
CVE-2026-62223OpenClaw端末ペアリング承認の
認可バイパス(別経路)
8.8(高)2026.5.18
CVE-2026-62229OpenClaw実行許可リストの
照合すり抜け
8.8(高)2026.5.18
CVE-2026-62226OpenClawブラウザ操作機能を使った
内部への横取り要求(SSRF)
8.5(高)2026.5.19

CVE-2026-62241: 検査ツールclawvetの無認証なりすまし(9.1)

今回で最も危険な欠陥です。clawvet のサーバー部分(apps/api)に、ログイン状態を証明する鍵が「clawvet-dev-secret-change-me」という誰でも見える初期値のまま埋め込まれていました。攻撃者は公開された入り口から利用者IDを集め、この共通鍵で正規のログイン証明を偽造できます。結果として、ログインなしで他人になりすまし、メールアドレスや契約情報、外部サービス接続用のAPIキーを盗み見られる恐れがあります。開発元の勧告では、修正版0.7.5への更新が案内されています。

CVE-2026-62202: 定期実行を悪用した権限の奪取(8.8)

OpenClawの定期実行(cron。決まった時刻に自動で処理を走らせる仕組み)に絡む権限昇格です。低い権限しか持たない相手が、この仕組みを通じて本来より強い権限で処理を実行させられます。VulnCheckの勧告によると、修正は2026.6.9で入りました。

CVE-2026-62203: 環境変数の差し込みによる命令実行(8.8)

OpenClawが端末上でプログラムを実行する際に、環境変数(プログラムの動作を左右する設定値)を外から差し込めてしまう欠陥です。これを悪用すると、意図しない命令を実行させられる恐れがあります。修正版は2026.6.6です。

CVE-2026-62207 / CVE-2026-62228: 管理者向け機能・実行承認への認可のすり抜け(8.8)

CVE-2026-62207は、本来は管理者だけが使えるはずの機能を、権限の低い呼び出し元が使えてしまう認可バイパスです。CVE-2026-62228は、コマンド実行の承認(ノード側)に関する同種のすり抜けです。どちらも修正版は2026.6.5です。

CVE-2026-62217: QQ連携での実行承認の不備(8.8)

中国で広く使われるチャットアプリ「QQ」との連携(QQBot)で、コマンド実行の承認確認がすり抜けられる欠陥です。修正版は2026.5.27です。

CVE-2026-62218 / CVE-2026-62223: 端末ペアリング承認のすり抜け(8.8)

端末を連携登録する際の承認(device pair approve)を、本来の権限がなくても勝手に通せてしまう欠陥です。経路の異なる2件があり、62218は2026.5.27、62223は2026.5.18で修正されています。連携承認が乗っ取られると、攻撃者の端末を正規の連携先として滑り込ませられる恐れがあります。

CVE-2026-62229: 実行許可リストの照合すり抜け(8.8)

実行してよいコマンドを絞り込む許可リストの照合(ワイルドカードの照合処理)に不備があり、想定外のパスを通されてしまう欠陥です。パス処理の不備(パストラバーサル)に分類されます。VulnCheckの勧告では、修正版は2026.5.18とされています。

CVE-2026-62226: ブラウザ操作機能を使った内部への横取り要求(SSRF・8.5)

OpenClawのブラウザ操作機能(act route)で、開いているタブのURLチェックをすり抜け、サーバー内部や本来アクセスできない先へ通信を送らせられる欠陥です。こうした「サーバーに任意の宛先へ要求を出させる」攻撃はSSRF(サーバーサイド・リクエスト・フォージェリ)と呼ばれます。影響が他の範囲へ及ぶ点が加味され、危険度は8.5とされています。修正版は2026.5.19です。

影響を受けるバージョンと修正版

OpenClaw本体の9件は、修正が入ったバージョンがそれぞれ異なります。ただ、個別に確認しなくても、2026.6.9以降へ更新すれば今回の9件はすべてカバーされます。clawvet は0.7.5以降が修正版です。下の表で製品ごとの目安をまとめます。

製品影響するバージョン推奨する更新先対処
OpenClaw2026.6.9より前
(該当機能を使う場合)
2026.6.9以降更新すれば9件すべて解消
clawvet0.7.5より前0.7.5以降更新後、埋め込み鍵の変更も推奨

OpenClawはnpm経由で配られており、修正の入ったバージョンは公式の変更履歴(CHANGELOG)で確認できます。clawvet については、更新後に初期値のまま残っていた鍵(合言葉)を自分のものに置き換えることも推奨されます。埋め込みの鍵は、更新するだけでなく実際に差し替えないと、同じ値を使い続けるリスクが残るためです。

いま何をすればいいのか

OpenClawやclawvet を自分で動かしている人は、まず今動いているバージョンを確認してください。OpenClawは2026.6.9以降、clawvet は0.7.5以降になっていれば、今回の欠陥は解消済みです。それより古ければ、最新版へ更新するのが最優先です。

更新までの間、あるいは念のための対策として、OpenClawを外部から直接触れない状態にしておくのも有効です。具体的には、インターネットに直接さらさず、信頼できるチャット連携だけに絞り、身に覚えのない連携(ペアリング)要求は承認しないことです。clawvet は、初期値のまま残っている鍵を必ず自分の値に変更してください。

今回の10件は、いずれも実際に攻撃へ使われたという報告や、米政府機関CISAが公開する「実際に攻撃されている脆弱性リスト(KEV)」への登録はありません。攻撃の実演コード(PoC)も確認されていません。とはいえ、AIエージェントは端末を直接操作できる強力な仕組みで、狙われれば被害が大きくなります。修正版が出そろっている今のうちに更新しておくのが安全です。国内外で実際に攻撃が始まっていないかは、攻撃中の脆弱性を追う一覧(日本語版)で確認できます。

同じ日に公開された別製品の脆弱性

なお、今回のOpenClaw関連10件と同じ日に、VulnCheckは別のソフトの脆弱性も1件公開しています。ホームページ作成ツール「Grav」のAPI拡張機能(grav-plugin-api)で見つかった権限昇格の欠陥(CVE-2026-62233、危険度8.8)で、修正版は1.0.6です。CVE番号が近いため混同しやすいのですが、OpenClawとは無関係の別製品です。Gravを使っている場合のみ、こちらも更新してください。

まとめ

いま最も勢いのあるAIエージェント「OpenClaw」に、本来より上の権限を奪える欠陥が9件、連携する検査ツール「clawvet」にはログイン不要でなりすませる危険度9.1の欠陥が1件見つかりました。OpenClawは端末を直接操作できる仕組みだけに、権限の境界に穴があると影響は小さくありません。

救いは、修正版がすでにそろっていることです。OpenClawは2026.6.9以降、clawvet は0.7.5以降へ更新すれば、今回の10件は解消します。clawvet では埋め込みの鍵の差し替えも忘れないでください。実際の攻撃報告はまだありませんが、AIに命令の実行権限を渡すツールは、乗っ取られたときの被害が大きくなります。手元で動かしている人は、早めの更新をおすすめします。

参照元

avatar-m-1

堀川 慎

Backend Engineer / AWS / Django / Go