何が起きたか
CVE-2026-53849(CVSS 8.1 HIGH)は2026年6月16日に公開されました。OpenClawのallowFrom機能は、安定した不変のDiscordユーザーIDではなく、任意のユーザーが自由に変更できるDiscord表示名をポリシー適用の身元の錨として使用しています。これにより、任意のDiscordユーザーが許可リストに登録された名前に一致するようにアカウント名を変更するだけで、不正なエージェントアクセスを獲得できます。
なぜ重要か
Discordチャネルを経由して動作するAIエージェントは、エンタープライズおよびコミュニティ自動化ワークフローでますます使用されています。ここでのポリシーバイパスは、攻撃者が技術的なエクスプロイトを必要とせず、単純なアカウント名変更を実行するだけで、エージェントパイプラインに任意のプロンプトを注入し、エージェントがアクセス可能なデータを流出させ、または特権エージェントアクションをトリガーできることを意味します。
攻撃経路
OpenClawのallowFromアクセス制御機能は、不変のユーザーIDではなく、可変の表示名を使用してDiscordアカウントの身元を検証します。攻撃者がDiscord表示名をポリシーエントリと一致するように変更すると、OpenClawは正当なユーザーを対象としたエージェントアクセスを付与してしまいます。
影響を受けるシステム
OpenClaw < 2026.5.7
緩和策
OpenClawをバージョン2026.5.7以降にアップグレードしてください。勧告:https://github.com/openclaw/openclaw/security/advisories/GHSA-cw4q-gqg5-g38h