お問い合わせ
ブログ

OpenClaw Part II: 1-Click RCEと現実化するAIエージェントのセキュリティ脅威

本稿では、CVE-2026-25253 脆弱性の構造と攻撃フロー、そして Criminal IP の IT資産検索 を通じて観測された OpenClaw Control インターフェースの露出資産状況を中心に、AI エージェントサービス環境にお.....

最近、AI エージェントプラットフォーム OpenClaw において、1-Click リモートコード実行(Remote Code Execution, RCE)脆弱性 CVE-2026-25253 が公開され、セキュリティコミュニティの注目を集めています。

過去のブログでは、OpenClaw の旧プロジェクト名である Clawdbot(後に Moltbot に改称)の事例を通じて、自律型 AI エージェントがインターネットに露出した場合に発生し得るセキュリティリスクと攻撃シナリオを分析しました。その記事では、管理インターフェースの公開や脆弱な認証構造だけでも AI エージェントが 攻撃対象領域 となり得ることを確認しました。

本稿ではその延長として、単なる露出問題を超え、実際の脆弱性が確認された事例として OpenClaw の CVE-2026-25253 1-Click RCE 脆弱性を取り上げます。特に、ユーザーが細工されたリンクをクリックする、あるいは Web ページを閲覧するだけで攻撃が成立する可能性があることが明らかになり、AI エージェントプラットフォームのセキュリティおよび AI エージェントの 攻撃対象領域管理の重要性が、現実的なセキュリティ課題として浮き彫りになっています。

CVE-2026-25253 脆弱性概要

項目内容
脆弱性 IDCVE-2026-25253
影響製品OpenClaw
脆弱性タイプRemote Code Execution (RCE)
主な影響認証トークンの奪取によるエージェント制御の可能性

CVE-2026-25253 は、OpenClaw Control インターフェースにおいて、外部入力を利用して接続設定フローを悪用できる構造に関連する脆弱性として知られています。攻撃者は細工された URL によってユーザーのアクセスを誘導でき、この過程で認証トークンが攻撃者側へ送信される可能性が指摘されています。

この脆弱性は 2026 年 2 月 1 日に Depthfirst により公開されましたが、OpenClaw 側によると、それ以前の 2026 年 1 月 29 日にリリースされたバージョン 2026.1.29 において既にパッチが適用されていたとされています。

攻撃メカニズムおよびシナリオ

OpenClaw RCE 攻撃シナリオ

CVE-2026-25253 のような脆弱性では、比較的単純な流れで攻撃が成立する可能性があります。攻撃者は gatewayUrl パラメータを含む細工された URL を作成し、フィッシングメールや Web ページなどを通じてユーザーがそのリンクをクリックするよう誘導します。ユーザーがリンクにアクセスすると、OpenClaw Control UI が攻撃者の指定したサーバーへ WebSocket 接続を試みる過程で、認証トークンが外部へ送信される可能性があります。攻撃者はこのトークンを利用して、該当する OpenClaw インスタンスへのアクセスを試みることができます。

もしアクセスに成功した場合、攻撃者はエージェントの権限範囲内でコマンドの実行、ファイルへのアクセス、外部 API の呼び出しなどを悪用し、さらなる攻撃を実行する可能性があります。

Criminal IPを通じて観測された OpenClaw 公開資産の状況

脆弱性対応において重要な要素は、脆弱性そのものだけでなく、外部からアクセス可能なサービスインフラの規模です。OpenClaw のような AI エージェントプラットフォームは、開発環境やテスト環境で迅速に展開されるケースが多いため、一部のインスタンスがそのままインターネットへ公開されてしまう場合があります。

これを確認するため、Criminal IP  IT資産検索 において favicon ベースのサービス識別検索を実施しました。

Search Query: favicon: -53f5ed23

Criminal IP IT資産検索 で favicon: -53f5ed23 を検索した結果

分析の結果、2026年3月9日時点で約 5,600 件以上の OpenClaw Control インターフェースと推定される資産が識別されました。

観測された資産の多くは HTTPS(443)ポートを通じて外部から直接アクセス可能な形で公開されており、nginx や Apache などの一般的な Web サーバー環境上で管理インターフェースが運用されている事例が確認されました。また、多くのインスタンスで Let’s Encrypt ベースの SSL 証明書が使用されており、比較的シンプルな構成環境で OpenClaw サービスが公開された状態で運用されているケースが存在することが示されています。

国別分布の分析結果

国別分布の分析では、米国を中心に複数の国で OpenClaw インターフェースが公開された環境が確認されました。このような環境では、攻撃者がまず管理インターフェースの応答可否を確認し、その後サービスバナーや静的リソースを通じてバージョンを推定し、脆弱なバージョンや管理インターフェースが公開された環境を優先的に探索する可能性があります。

特に AI エージェントの管理インターフェースは、一般的な Web サービスよりも高い権限を持つケースが多いため、脆弱性が存在する場合や認証制御が不十分な場合には、攻撃の影響範囲が大きく拡大する可能性があります。

Criminal IP IT資産検索 で確認されたある資産の詳細レポート

Criminal IP の IT資産検索 で確認されたある資産の詳細レポートでは、TCP 443 ポートで OpenClaw Control インターフェースが HTTPS サービスとして稼働している環境が確認されました。当該サービスは Apache 2.4.52(Ubuntu)Web サーバー上で運用されており、外部リクエストに対して HTTP 200 応答を返す状態で、管理インターフェースへアクセス可能な環境でした。

レスポンスヘッダーの分析では、サーバー情報とともに一般的な Web セキュリティヘッダーが確認され、さらにサーバーバナーには Apache のバージョン情報が公開されている状態が観測されました。このような環境では、サービス構成情報が外部に露出する可能性があり、管理インターフェースが直接アクセス可能な状態である場合、攻撃対象領域が拡大するリスクが存在します。

対応および推奨事項

OpenClaw 脆弱性への対応では、パッチ適用とあわせて公開環境の点検を並行して実施する必要があります。

  • 脆弱性修正が含まれる最新バージョンへのアップデート
  • OpenClaw Control インターフェースへの外部アクセス制限
  • 開発・テスト環境が公開状態になっていないかの確認
  • Criminal IP IT資産検索 などの外部資産検出ツールを活用した継続的な公開状況の点検

FAQ

Q1. OpenClaw 1-Click RCE 脆弱性とは何ですか。

CVE-2026-25253 は、OpenClaw Control インターフェースの接続設定フローを悪用し、認証トークンが奪取される可能性がある脆弱性です。攻撃者は細工された URL によってユーザーのアクセスを誘導し、その過程で取得したトークンを利用して OpenClaw インスタンスへのアクセスを試みる可能性があります。 

Q2. なぜ AI エージェントプラットフォームが 攻撃対象領域 となるのでしょうか。

AI エージェントは、システムコマンドの実行、ファイルアクセス、外部 API 呼び出しなど、高い権限を伴う機能を実行します。このような構造では、脆弱性が発生した場合、単一のアプリケーションにとどまらず、エージェントが接続されているサービス全体の環境が攻撃対象となる可能性があります。

Q3. なぜ favicon 検索でサービスの識別が可能なのですか。

多くの Web サービスは固有の favicon アイコンを使用しています。このアイコンのハッシュ値を基準に検索することで、同じインターフェースを利用しているサービスインスタンスをインターネット上で識別することが可能になります。 

結論

OpenClaw の事例は、AI agent security および AI agent platform security の観点から、AI agent attack surface が新たな攻撃ベクトルとして浮上していることを示しています。AI を活用した自動化システムが急速に普及する環境において、エージェントサービスも従来の IT インフラと同様に、外部露出の管理と脆弱性対応を含めた運用インフラとして管理する必要があります。

なお、関連してClawdbot/Moltbot:自律型 AI エージェントの露出リスクに関するセキュリティ分析の記事も参考にしてください。


本レポートは、サイバー脅威インテリジェンス検索エンジン Criminal IP のデータを基に作成されています。
今すぐCriminal IP の無料アカウントを作成すれば、本レポートで引用された検索結果を直接確認したり、さらに膨大な脅威インテリジェンスを自由に検索することができます。

データソース: Criminal IP (https://www.criminalip.io/ja), Security Week (https://www.securityweek.com/openclaw-security-issues-continue-as-secureclaw-open-source-tool-debuts/

関連記事: https://www.criminalip.io/ja/knowledge-hub/blog/7898

OpenClaw Part II: 1-Click RCEと現実化するAIエージェントのセキュリティ脅威 | Criminal IP(クリミナルアイピー) | Criminal IP