自律型AIエージェント向けオープンソースプラットフォームOpenClawにおいて、4つの重大な脆弱性が連鎖する形で発見された。Cyeraの研究チームが特定し、2026年4月にOpenClawのメンテナーへ報告、すでに全件にパッチが適用されている。
脆弱性はCVE-2026-44112(CVSS 9.6)、CVE-2026-44115(CVSS 8.8)、CVE-2026-44118(CVSS 7.8)、CVE-2026-44113(CVSS 7.7)の4件で(いずれもCNA評価値)、Cyeraはこの連鎖を「Claw Chain」と名付けた。
攻撃者は足場確保、情報外部流出、権限昇格、永続化の4段階で悪用できる。OpenClawは海外報道によれば2025年末に「Clawdbot」として登場し、Telegram、Discordなどとの統合が確認できる。2026年5月時点でShodanが約6万5,000台、ZoomEyeが約18万台、観測合算で最大約24万5,000台の公開インスタンスが報告されている(重複の可能性あり)。
修正版2026.4.22は2026年4月23日に公開された。
From: 
OpenClaw Chain Vulnerabilities Expose 245,000 Public AI Agent Servers to Attack
【編集部解説】
OpenClawの脆弱性チェーン「Claw Chain」をめぐる今回の報告は、単一のソフトウェア欠陥のニュースとして読むには惜しい、より構造的な転換点を示しています。AIエージェントというカテゴリそのものが、企業ネットワーク内で「新しい実行レイヤー」になりつつあるという事実を浮き彫りにしているからです。
まず技術的な要点を整理しておきます。中核となるTOCTOU(time-of-check/time-of-use)は、「ファイルパスを検証した瞬間」と「実際に読み書きする瞬間」の時間差を突く古典的な競合状態(レースコンディション)です。OpenShellサンドボックスでこのパターンが2か所(読み・書き)に存在し、さらにsenderIsOwnerという所有者判定フラグをサーバー側で再検証していなかった点、ヒアドキュメントを介して環境変数が漏れ出す点が組み合わさり、攻撃者は「足場→情報窃取→権限昇格→永続化」という攻撃の教科書的フローを、AIエージェント自身に代行させられる構造になっていました。
なお、本記事で示したCVSSスコア(CVE-2026-44112の9.6、CVE-2026-44113の7.7など)はCNA(VulnCheck)評価値であり、NVDの独自評価では一部スコアが6.3と低めに付されています。深刻度の捉え方には評価主体による幅がある点に留意が必要です。
Cyeraの報告に加え、複数の海外メディアではパッチ済みバージョンが「OpenClaw 2026.4.22」(GitHub Advisoryも2026年4月23日公開)であること、発見者がセキュリティ研究者のウラジミール・トカレフ氏であることも報じられています。修正版ではMCPループバックランタイムが所有者用と非所有者用のトークンを分離発行する方式に改められ、偽装可能なヘッダを信頼する設計そのものが見直されました。
ここで筆者が最も注目したいのは、参照元記事も指摘する「攻撃者がAIエージェント自身の権限を武器として利用する」という攻撃モデルです。従来のサイバー攻撃では、攻撃者は権限昇格のために別途エクスプロイトを必要としました。しかしAIエージェントは構成次第で、ファイルシステム、SaaS、API、認証情報への広範な権限を「業務上正当な理由で」保有し得ます。攻撃者にとっては、最初から特権アカウントが用意されているのと同じ意味を持ち得るのです。
この構図は、検知の難しさにも直結します。各ステップが「エージェントの通常動作」を模倣するため、振る舞いベースの監視であっても、それがLLMの意思決定なのか攻撃者の指示なのかを区別しづらいのです。EDRやSIEMに「AIエージェント由来のイベント」をどう正規化していくかは、業界全体の宿題と言えるでしょう。
露出規模の見方にも注意が必要です。Shodanで約6万5,000台、ZoomEyeで約18万台という観測値は、両者の探索手法やスキャン範囲が異なるため、単純に合算した「24万5,000台」には重複が含まれている可能性が高く、ユニークなインスタンス数とは断定できません。とはいえ「公衆網に置くべきでない管理ゲートウェイが大量に露出している」という構造そのものは揺らがず、シャドーAIの典型例として捉えるのが妥当でしょう。
興味深いのは、Microsoft自身がこの動きに先回りしている点です。同社はAIエージェントの統制基盤「Microsoft Agent 365」を2026年5月1日に一般提供開始し、DefenderおよびIntuneとの連携によって、Windows端末上で稼働するOpenClawエージェントをシャドーAIとして検出・ブロックする機能を提供し始めました。OpenClaw側がMicrosoft Agent 365との統合を公式に謳っているわけではなく、あくまでMicrosoft側がOpenClawを「統制対象として把握する」構図ですが、攻撃者にとっての価値が高い基盤ほど、ベンダー側のガバナンス整備が加速しているという全体像が浮かび上がります。
日本企業への含意も整理しておきます。金融、医療、法務といったPII・PHIを扱う領域での導入が進めば進むほど、AIエージェントは「サービスアカウント以上、人間ユーザー未満」の特権アイデンティティとなります。経済産業省・総務省が公開するAI事業者ガイドラインや、欧州のEU AI Actが定める「ハイリスクAIシステム」のガバナンス要件と接続して考えれば(OpenClaw自体が直ちにハイリスクに該当するかは用途次第ですが)、エージェントのライフサイクル管理、権限の最小化、監査ログの保全は、もはやセキュリティ部門だけの議論では済まなくなります。
長期的に見れば、今回の事案は「AI Bill of Materials(AI-BOM)」やNHI(Non-Human Identity)管理という新しい統制カテゴリの必要性を、現実の脆弱性として後押しする一例になり得ます。生成AIから自律エージェントへの主戦場の移行は不可逆ですが、その速度に対してガバナンスは確実に追いついていません。「便利だから入れる」フェーズから、「権限を設計してから入れる」フェーズへ。OpenClawが鳴らした警鐘は、まさにそのギアチェンジを迫っているのだと、筆者は受け止めています。
【用語解説】
TOCTOU(time-of-check/time-of-use)
ファイルパスなどの値を「検証する瞬間」と「実際に使う瞬間」のわずかな時間差を悪用する古典的な脆弱性パターン。検証直後にリソースを攻撃者が差し替えることで、安全性チェックを実質的に無効化できる。
レースコンディション(競合状態)
複数の処理が同じリソースに同時アクセスする際、実行順序の隙間に生じる不整合のこと。TOCTOUはこの一種だ。
サンドボックス
プログラムの動作範囲を、特定のディレクトリや権限の内側に制限する隔離機構。本件ではOpenShellがその役割を担っていた。
CVSSスコア
共通脆弱性評価システム(Common Vulnerability Scoring System)による深刻度の指標。0.0〜10.0の数値で表され、9.0以上が「Critical(緊急)」、7.0〜8.9が「High(重要)」に区分される。CNA(採番機関)とNVDで評価値が分かれることもある。
ヒアドキュメント
シェルスクリプトで複数行のテキストをコマンドに渡すための構文。クオート(引用符)が不適切だと、内部で環境変数が展開され、機密値が外部に漏れる経路となりうる。
ベアラートークン
「これを持っている者を本人とみなす」方式の認証トークン。所持自体が権限の証明となるため、奪われた場合の被害が大きい。
プロンプトインジェクション
LLMに渡される入力データの中に、悪意ある命令を混入させてモデルの挙動を乗っ取る攻撃手法。AIエージェント時代の代表的な脅威の一つだ。
LLM(大規模言語モデル)
膨大なテキストで学習された自然言語処理モデル。OpenClawはLLMをファイルシステムやSaaSに接続するハブとして機能する。
MCP(Model Context Protocol)
LLMと外部ツール・データソースを接続するためのオープンプロトコル。本件のCVE-2026-44118は、MCPループバック実装における権限昇格の問題だった。
PII / PHI
PIIは個人を識別できる情報(Personally Identifiable Information)、PHIは医療分野の保護対象保健情報(Protected Health Information)。いずれも法令上、厳格な取り扱いが求められる。
バックドア
正規の認証を経ずに侵入できる「裏口」。設置されると、修正パッチを当てた後でも侵入経路が残る恐れがある。
シャドーAI
IT部門の管理外で従業員や開発者が独自に導入・運用しているAIツールのこと。可視化されていないため、ガバナンスと監査の死角になる。
NHI(Non-Human Identity)
サービスアカウント、APIキー、ボット、AIエージェントなど、人間以外が保有するアイデンティティの総称。近年は人間ユーザーと同等の管理対象とすべきとの議論が進む。
AI-BOM(AI Bill of Materials)
AIシステムを構成するモデル、データセット、依存ライブラリ、ツール群を一覧化した部品表。サプライチェーンの透明性を確保するための概念である。
EDR / SIEM
EDR(Endpoint Detection and Response)は端末上の不審挙動を検知・対応する仕組み、SIEM(Security Information and Event Management)はログを集約・相関分析する基盤を指す。
【参考リンク】
OpenClaw 公式サイト(外部)
自律型AIアシスタント「OpenClaw」のプロジェクト公式サイト。50超の外部サービス連携や自己ホスト型セットアップ手順を紹介している。
OpenClaw GitHub リポジトリ(外部)
OpenClaw本体のソースコードを公開するMITライセンスのリポジトリ。セキュリティアドバイザリの一次情報もここに集約される。
Cyera 公式サイト(外部)
今回の脆弱性「Claw Chain」を発見したデータセキュリティ企業。AIネイティブな分類エンジンを軸にDSPMを提供する。
Cyera Research「Claw Chain」原文記事(外部)
Cyera研究チームによる脆弱性の技術解説。攻撃チェーン全段階と影響範囲を最も詳細にまとめた一次情報である。
Shodan(外部)
インターネット上の公開機器を検索できるスキャン基盤。本件では公開OpenClawインスタンスを約6万5,000台確認した。
ZoomEye(外部)
中国Knownsecが運営するサイバースペース検索エンジン。本件ではOpenClawインスタンスを約18万台観測している。
GitHub Advisory Database(外部)
オープンソースの脆弱性情報を集約するGitHub公式データベース。GHSA識別子で個別アドバイザリを参照できる。
Microsoft Agent 365 公式サイト(外部)
MicrosoftのAIエージェント統制基盤。2026年5月にGA、OpenClawをシャドーAIとして検出可能な機能も備える。
【参考記事】
Claw Chain: Cyera Research Unveil Four Chainable Vulnerabilities in OpenClaw(外部)
脆弱性を発見したCyera研究チームによる一次情報。攻撃チェーンと約24万5,000台の露出規模を最も詳しく解説している。
Four OpenClaw Flaws Enable Data Theft, Privilege Escalation, and Persistence(外部)
修正版がOpenClaw 2026.4.22であること、発見者がウラジミール・トカレフ氏であることなど技術的詳細を補足している。
NVD – CVE-2026-44112(外部)
米国NIST運営の脆弱性データベース。CNAとNVD独自評価でCVSSスコアに差がある事実の裏取りに利用した。
GitHub Security Advisory GHSA-r6xh-pqhr-v4xh(外部)
OpenClawメンテナー公開の一次アドバイザリ。修正版2026.4.22とトークン分離発行の設計根拠を確認した。
Microsoft Agent 365, now generally available, expands capabilities and integrations(外部)
Microsoft Agent 365が2026年5月1日にGAし、OpenClawをシャドーAIとして検出・統制できると公式発表した記事。
OpenClaw chain lets attackers hijack config and steal data(外部)
修正後のMCPループバックランタイムが所有者用と非所有者用のトークンを分離発行する設計に改められた点を明示している。
【関連記事】
AIエージェント「OpenClaw」が中国を席巻 テンセント・アリババが後押しする”ロブスター”の危うさ
SecurityScorecardが報告したOpenClawの公開インスタンス露出問題を詳報。今回の「Claw Chain」を読み解く前提として、露出規模の議論の流れを把握できる。
OpenClawのAIエージェント設定ファイルがマルウェアに窃取される初の事例が発覚
ゲートウェイトークンやsoul.mdが情報窃取型マルウェアに狙われた実被害事例。脆弱性の「悪用後」に何が起きるかを具体的に示す。
OpenClawエージェント「Cass」がパスワード流出、ハンナ・フライ教授の実験が示すAIエージェントの光と影
AIエージェントに権限を委ねることの危うさを実験を通して描いた記事。「権限の棚卸し」という今回のメッセージと響き合う。
ClawdbotからOpenClawへ─急成長するセルフホスト型AIエージェントの実力と危険性
OpenClawの命名経緯と急成長、設計思想を概説した入門記事。OpenClawをはじめて知る読者向けの基礎記事として最適。
【編集部後記】
AIエージェントは、もはや「賢いチャットボット」ではなく、私たちのファイル、認証情報、業務システムにまで手を伸ばす”行動する同僚”へと進化しつつあります。今回のOpenClawの一件は、その同僚に「どこまでの権限を渡しているか」を見直すきっかけになるのではないでしょうか。
みなさんの職場や個人環境では、AIに何を任せていますか? もし「便利だから」で導入したツールがあるなら、その権限の棚卸しを一緒に始めてみませんか。未来をつかむ前に、未来の鍵を誰が握っているかを確かめておきたいところです。
