技術的な説明
広く議論されているオープンソースAIエージェントプラットフォームであるOpenClawには、外部フックメタデータを信頼されたシステムイベントとしてエンキューされることを可能にする重大な入力検証フロー(CVSS 9.1)が含まれています。攻撃者は、セキュリティチェックをバイパスし、より高い信頼コンテキストでエージェント内で処理される悪意のあるフック名を提供でき、これによりエージェント実行環境内での権限エスカレーション、不正な操作、またはコマンドインジェクションを実現できます。この脆弱性は2026.4.10より前のOpenClawバージョンに影響し、2026年5月5日にGitHubセキュリティアドバイザリ(GHSA-7g8c-cfr3-vqqr)および問題を修正するコミットとともに開示されました。
攻撃経路
この脆弱性はネットワークを介してリモートから悪用可能(AV:N)で、攻撃複雑性は低く(AC:L)、認証(PR:N)またはユーザーインタラクション(UI:N)を必要としません。攻撃者は悪意のある外部フックメタデータを作成し(おそらくAPIコール、ウェブフックペイロード、またはエージェント間通信チャネルを経由)、信頼されたシステムイベントとして解釈されるよう設計されたフック名を提供します。OpenClawがこの入力をエンキューする前に信頼レベルをサニタイズまたは検証することに失敗しているため、攻撃者のデータは内部コマンドをトリガーし、エージェント状態を操作し、またはデータを流出させることができるコンテキストに昇格されます。このフローはCWE-345(データ真正性の不十分な検証)に分類されます。
影響を受けるシステム
2026.4.10より前のOpenClawバージョン。OpenClawはAIエージェントオーケストレーションプラットフォームで、最近の開発ディスカッションとエージェントフレームワーク比較での参照により、エージェンティックAIコミュニティにおいて重大な採用があるようです。この脆弱性は、外部エンティティ(ユーザー、他のエージェント、サードパーティ統合)がフックメタデータを提供またはフックベースのワークフローをトリガーできる任意のデプロイメントに影響します。
緩和策
OpenClawバージョン2026.4.10以降にすぐにアップグレードしてください。修正はOpenClaw GitHubリポジトリのコミットe3a845bde5b54f4f1e742d0a51ba9860f9619b29を経由して利用可能です。即座のパッチ適用が不可能な場合は、すべての外部フックメタデータがイベントキューに入る前に厳密な入力検証とサニタイズを適用し、システムイベントとして処理できるフック名にホワイトリスティングを実装してください。悪用を示す可能性のある疑わしいフック呼び出しまたは権限エスカレーションについてログを確認してください。