何が起きたか
GitHub セキュリティアドバイザリ (CVSS 8.1) は OpenClaw の ClickClack エージェントモードディスパッチパスの認可バイパスを開示しました。これにより toolsAllow 許可リストポリシーが無視される可能性があり、信頼度の低い入力パスが意図したスコープ外のツールを呼び出すことができます。
なぜ重要か
OpenClaw はチャット駆動型エージェントゲートウェイです。toolsAllow バイパスは、より低い信頼度のチャネル (グループチャットやウェブフック等) 経由でエージェントに到達できる攻撃者が、オペレーターが明示的に制限することを意図した特権ツールアクションを呼び出すことができることを意味し、エージェントツール使用の主要なアクセス制御メカニズムを破ります。
攻撃経路
ClickClack エージェントモードディスパッチ機能は、エージェントが呼び出すことを許可されているツールをゲートする toolsAllow ポリシーチェックを無視できます。機能が有効でアクセス可能な場合、低い信頼度の呼び出し元または構成された入力パス (例:受信チャットメッセージ) はより強力な認可チェックを必要としたはずのツールアクションをトリガーできます。
影響を受けるシステム
OpenClaw バージョン 2026.5.10-beta.1~2026.6.5 未満
緩和策
OpenClaw 2026.6.5 以降にアップグレードします。構成ガイダンスについては GHSA-wp73-f3gg-w4vr をご覧ください。