技術的な説明
NanoClaw はエージェント型コンテナフレームワークであり、アウトバウンド添付ファイル処理とアウトボックスクリーンアップにおいてホスト/コンテナファイルシステム境界脆弱性を含んでいます。侵害されたまたはプロンプトインジェクションされたコンテナは、細工された messages_out.id および content.files 値を供給するか、シンボリックリンクを作成することにより、意図されたアウトボックスディレクトリ外のファイルを読み取り、任意のホストファイルシステムの読み書きアクセスを実現できます。脆弱性は2026年5月6日に開示され、CVSS 8.8です。
攻撃経路
特別に細工されたメッセージメタデータまたはコンテナアウトボックス内のシンボリックリンクを経由したパストラバーサル。コンテナ入力を制御する攻撃者(例えば、プロンプトインジェクションまたは直接の侵害を経由して)は、コンテナ境界外のパスを参照でき、添付ファイル処理中の不十分なパスサニタイゼーションを悪用します。攻撃者がコンテナ実行に影響を与えることができる場合、認証は不要です。
影響を受けるシステム
2026年5月6日のパッチコミット(7814e45)より前の NanoClaw バージョン。信頼されないコードまたはプロンプトがコンテナ化されたエージェント動作に影響を与える可能性があるデプロイメントが最も高いリスクにあります。ファイルシステムインタラクションを使用した agentic ワークフロー向けの NanoClaw を使用している環境に影響します。
緩和策
qwibitai/nanoclaw GitHub リポジトリからコミット 7814e45 以降の NanoClaw にアップグレードしてください。コンテナベースのエージェントをデプロイしている組織は、ファイルシステム分離境界の監査を実施し、エージェントフレームワークがユーザー提供またはエージェント生成のファイル参照を処理する際に厳密なパスサニタイゼーションを強制することを検証する必要があります。