OpenClawに深刻な脆弱性、WhatsApp経由でホスト乗っ取り—成立に必要だった条件とは

いつも使っているチャットアプリに、開発の相棒であるAIへ「ちょっとこれ試して」とメッセージを送る——そんな日常のワンシーンが、そのまま攻撃の入口になりうる。今回明らかになったのは、まさにそういう話です。相手は世界中の開発者が熱狂するオープンソースのAIアシスタント。悪意ある巧妙なコードでも、ゼロデイでもなく、決め手になったのは「開発者らしい、ごく普通の頼み方」でした。便利さのために手渡した鍵が、言葉のかけ方ひとつで他人の手に渡ってしまう。AIに仕事を任せる時代の、静かで無視できない綻びを、順を追ってほどいていきます。


オープンソースのAIアシスタント「OpenClaw」に、深刻度「高」の脆弱性が3件見つかった。脆弱性そのものは2026年6月30日に公式アドバイザリで公開され、2026年7月10日にCyber Security Newsが報じたものである。

3件は環境変数フィルターのバイパス(GHSA-hjr6-g723-hmfm、CVSS 8.8)、Git ext:: トランスポートによるRCE(GHSA-9969-8g9h-rxwm、CVSS 8.8)、サンドボックスの親ディレクトリ・バイパス(GHSA-575v-8hfq-m3mc、CVSS 8.4)です。OpenClawはGitHubで38万を超えるスターを集める人気プロジェクトである(2026年7月時点)。

研究者チンモハン・ナヤックは、最初の2件について、デバッグ依頼を装ったWhatsAppメッセージからホスト上のコード実行を実証した。この実証では、攻撃者の番号が事前にペアリング承認され、ホストコマンドを確認なしで実行でき、サンドボックスが無効という条件が整っていた。

一方、3件目は、サンドボックスを有効にしてバインドマウントを利用する際の親ディレクトリ検証不備である。既定設定では、未知の送信者のメッセージは所有者が承認するまで処理されない。テストエージェントを動かすモデルはClaude Sonnet 4だった。影響範囲は、最初の2件がOpenClaw 2026.6.1以下、3件目が2026.6.6未満で、いずれも2026.6.6以降で修正されている。

From: 文献リンクOne WhatsApp Message Turns OpenClaw Into a Remote Access Tool for Hackers

【編集部解説】

まず正確に押さえたいのは、今回悪用されたのはOpenClawの製品バグ3件であり、それが公式に修正されたという事実です。同時に本件は、危険な操作を実行するかどうかの判断を、事実上モデルに委ねることの危うさという、より広い論点も浮かび上がらせました。ただし「未知の誰かがWhatsAppに1通送るだけで乗っ取れる」わけではありません。最初の2件(環境変数フィルターとGit ext::)の実証では、攻撃者の番号が事前にペアリング承認され、コマンドを確認なしで実行する設定で、サンドボックスも無効という条件が整っていました。「1通」とは、こうした準備が済んだ後の最終入力を指します。なお3件目は性質が異なり、サンドボックスを有効にしてバインドマウントを使う構成でこそ問題になる、検証迂回の脆弱性です。

3件のうち環境変数フィルターのバイパスは象徴的です。OpenClawの sanitizeEnvVars() は、研究者の分析によれば、APIキーやトークンなど「秘密が外へ漏れ出す」ことを防ぐ拒否リストとして機能していました。ところが、NODE_OPTIONS のように「外から危険なコードを持ち込む」タイプの変数は想定から漏れていました。守るべき方向を一方向しか見ていなかった、という発想の穴です。

RCE(リモートコード実行)とは、攻撃者が離れた場所から標的のマシン上で任意のプログラムを走らせられる状態を指します。今回で言えば、権限やファイルへのアクセス条件がそろえば、SSH鍵の窃取からホストの掌握までが射程に入りうる、という深刻さです。CVSSはその深刻度を0〜10で数値化した国際指標で、今回の3件は8.8、8.8、8.4。いずれも「High(高)」に分類されます。

とりわけ重いのが3件目のサンドボックス回避です。Dockerサンドボックスは ~/.ssh の直接マウントは禁じていましたが、それを内包する上位ディレクトリ /home は素通しでした。「危険な部屋には鍵をかけたが、その部屋を含むフロアごと持ち出せた」という構図で、機密ファイルを守るための境界が破られたことを意味します。なお、これはこの隔離の一側面が破れたということであり、Dockerのプロセスやネットワークといった他の隔離機構までがすべて無効になったわけではありません。

この事案でもっとも示唆に富むのは、テストエージェントを動かしていたClaude Sonnet 4の振る舞いです。研究者の報告によれば、あからさまな攻撃ペイロードは体感で約40%の確率で拒否された一方、同じ内容を「本番環境のメモリリークをデバッグ中」といった開発者の文脈で包むと、試したすべての新規セッションで実行されたとされます。ただしこれは研究者本人の観察であり、試行回数や全ログ、第三者による再現結果は公表されていません。Claude Sonnet 4一般の成功率として一般化できる数字ではない点に注意が必要です。

ナヤック自身が「Anthropicを責めているのではない」と明言している点も重要です。テキストだけを見れば、正規の開発者の依頼と攻撃者の依頼は区別が難しい——ここに問題の芯があります。もっとも、実システムには送信者認証、権限設定、ツールポリシー、承認フローといった「テキスト以外の手がかり」が存在します。今回のように確認なしで実行された背景には、ペアリング済み送信者を信頼し、ホスト上の exec を無確認で許可する、OpenClawの信頼済み単一オペレーター向けの構成がありました。さらに実証環境では、既定どおりサンドボックスも無効でした。本質は、モデルの言葉の解釈に、コマンドを実行するかどうかの判断を事実上委ねてしまった点にあると言えるでしょう。

さらに、この弱点はセッションの独立性によって扱いが難しくなります。研究者の観察では、いったんある依頼を拒否すると、その会話の中では以降のやり取りに警戒が働く一方、新しいセッションを始めると警戒がリセットされたとされます(内部状態としては公式に確認されていません)。防御側が一度成功しても、攻撃側は「一度成功すればいい」——この非対称性は、AIに限らずセキュリティ全般に通じる厄介さです。ただし現実の再試行回数は、レート制限や監視、そして接触できる相手を絞るペアリングなどによって制約されます。

脆弱性はすでに 2026.6.6 で修正済みです。とはいえ「もう安心」とは言い切れません。更新率や既存侵害の有無は分からず、最初の2件はOpenClaw 2026.6.1以下、サンドボックス問題は2026.6.6未満が影響を受けます。3件すべてを解消するには2026.6.6以降への更新が必要です。そして信頼できないチャネルでは exec を無効にすること。これが具体的な一手です。

本質はOpenClaw固有の話にとどまりません。ナヤックは、多くのAIエージェント基盤がそもそもサニタイザーすら備えていないと指摘し、OpenClawはむしろ対策機構を持っていた側だと述べています(この業界全体の比較は研究者の見立てであり、定量的な裏付けがあるわけではありません)。より広い文脈で言えば、OpenClawは2026年初頭から、1クリックRCEのCVE-2026-25253、公開マーケット「ClawHub」を悪用したマルウェア配布、インターネット上に露出した多数のインスタンスなど、断続的にセキュリティ問題を指摘されてきました。今回はその系譜に連なる最近の一例です。「あなたのインフラ、あなたの鍵、あなたのデータ」という自己ホスト型の魅力は、運用者に大きな責任を求めます。ただし、安全な既定値や修正、モデルの安全性については開発元や供給者にも責任が及びます。

私たちがいま手にしているAIエージェントは、「マシンにアクセスできる同僚」という信頼モデルと、「テキストを送れる相手」という接点とを、近い距離で結びつけています。もっとも、OpenClawの既定DMポリシーは「誰でも受け入れる」ではなくペアリング方式です。この落差は、送信者をペアリングで承認し、そのエージェントにホスト上のコマンドを実行できる権限を与えた場合に露呈します。それでも、自律的に行動するAIの責任分界をどう定めるかという論点は重みを増しています。EUのAI法をはじめとする各国の枠組みは、提供者や導入者に異なる義務を課しますが、こうした自己ホスト型エージェントが直ちに高リスクAIに分類されるとは限りません。今回のような事案は、その議論を前に進める一つの材料になる可能性があります。

結論として、ナヤックの提言は明快です。モデルを安全境界として当てにするのをやめ、認証・認可・サンドボックス・最小権限をモデルの判断とは切り離してアプリケーション側で強制せよ、と。AIエージェントの利便性は本物です。だからこそ、その便利さを支える土台を、AIの「良識」ではなく設計で守る段階へ、私たちは進んでいく必要があるのだと言えます。

【関連記事】

OpenClawに5件のゼロデイ、AIエージェントの「信頼」を乗っ取り——AI製ツールagentggが過去のCVEから発見
メッセージング連携における信頼境界の突破を扱った、本件の直前の事例。脆弱性の「見つけ方」に光を当てている。

OpenClawに4つの脆弱性連鎖「Claw Chain」、公開24万5,000台が認証情報窃取の危険に
公開インスタンスの露出規模と、AIエージェントを特権主体として統制する論点を整理している。

OpenClawエージェント「Cass」がパスワード流出、ハンナ・フライ教授の実験が示すAIエージェントの光と影
WhatsApp上で偽の指示によりAIが認証情報を漏らした実例。「言葉づかいで信頼が動く」危うさを示す。

【編集部後記】

この一件を追いかけていて、いちばん引っかかったのは「攻撃が高度だったから防げなかった」のではない、という点でした。使われたのは、開発者なら毎日のように口にする「本番環境のバグをデバッグしたいので、これ動かして」という一言です。悪意はどこにも書かれていません。だからこそ、AIはそれを疑いませんでした。

ここには、私たち自身の姿も少し重なって見えます。信頼している相手からの頼みごとほど、内容よりも「誰が、どんなふうに言ったか」で受け止めてしまう。今回のAIの振る舞いは、その人間くさい判断のクセを、機械の速度と正直さで拡大して見せてくれたようにも感じます。

同時に、この攻撃が成立するには、送信相手をあらかじめ承認し、コマンドを確認なしで実行できる権限まで渡す、という条件が必要でした。裏を返せば、どこまでの「行動」を許すかを決めているのは、いつも私たち自身です。便利さと引き換えに何を手放しているのか。その線引きは、誰かに決めてもらうものではなく、使う一人ひとりが握っているのだと思います。

脆弱性はすでに直されました。けれど、この出来事が残した問いは、次に登場するAIツールにも、そのまま持ち越されていきます。あなたの手元のAIは、いま、どこまでのことを「あなたの代わりに」できるようになっているでしょうか。次に何かを任せるとき、その範囲を一度だけ確かめてみる。そんな小さな習慣を、一緒に持てたら嬉しいです。


【用語解説】

CVSS
脆弱性の深刻度を0〜10の数値で表す国際的な評価指標。v3.1では7.0〜8.9が「High(高)」に当たり、今回の3件は8.8・8.8・8.4である。

GHSA
GitHub Security Advisory の略。GitHub上で脆弱性を調整・公開するための識別番号で、今回はGHSA-hjr6-g723-hmfm など3件が割り当てられている。CVEとは別の番号体系だ。

環境変数
プログラムの動作条件を外部から与える設定値。NODE_OPTIONS などの一部は起動時に別のモジュールを読み込ませる正規機能を持ち、信頼できない入力から設定できるとコード実行に悪用されうる。

Claude Sonnet 4
Anthropic が開発したAIモデルの一つで、今回のテストでOpenClawを動かすモデルとして用いられた。研究者は、Claude Sonnet 4には安全性訓練が施されており、実際に不審な依頼を拒否することもあったと述べている。それでも、開発作業らしい文脈を加えた依頼は、研究者が試した新規セッションすべてで実行されたと報告している。

【参考リンク】

OpenClaw(公式サイト)(外部)
本件の対象となった自己ホスト型AIアシスタントの公式サイト。対応チャネルや機能、思想を紹介している。

OpenClaw(公式GitHubリポジトリ)(外部)
OpenClawのソースコードが公開されている公式リポジトリ。スター数や脆弱性報告の窓口もここにある。

OpenClaw Security Advisories(公式)(外部)
3件のGHSAを含む脆弱性アドバイザリの一覧。CVSS値や影響バージョン、修正状況を確認できる。

Anthropic(Claude 開発元)(外部)
テストで用いられたモデル Claude Sonnet 4 の開発元。AIの安全性研究とモデル提供を行う企業の公式サイト。

【参考記事】

I Sent a WhatsApp Message to an AI Agent. It Ran My Code on the Host.(外部)
発見者チンモハン・ナヤック本人による一次情報。12個の環境変数の見落としや実証環境の設定条件、提言を詳述する。

Researcher Details WhatsApp-to-Host Attack Chain Using Three OpenClaw Flaws(外部)
The Hacker Newsの報道。3件の脆弱性、影響が運用構成に依存する点、緩和策を伝える。実証環境の詳細条件は研究者本人のMedium記事で確認できる。

OpenClaw Bug Enables One-Click Remote Code Execution via Malicious Link(外部)
今回に先立つ脆弱性報道。マヴ・レヴィンらが関わったCVE-2026-25253を扱い、以前からのRCE問題の文脈を示す。

OpenClaw Skills Used to Distribute Atomic macOS Stealer(外部)
Trend Microの調査。ClawHubを悪用した悪意あるスキルによるマルウェア配布の実態を報告している。

How Exposed OpenClaw Deployments Turn Agentic AI Into an Attack Surface(外部)
SecurityScorecardの調査。インターネット上に露出した多数のOpenClawインスタンスの実態を報告している。

Googleで優先するソースとして追加するボタン
投稿者アバター
山本 達也
『デジタルの窓口』代表。名前の通り、テクノロジーに関するあらゆる相談の”最初の窓口”になることが私の役割です。未来技術がもたらす「期待」と、情報セキュリティという「不安」の両方に寄り添い、誰もが安心して新しい一歩を踏み出せるような道しるべを発信します。 ブロックチェーンやスペーステクノロジーといったワクワクする未来の話から、サイバー攻撃から身を守る実践的な知識まで、幅広くカバー。ハイブリッド異業種交流会『クロストーク』のファウンダーとしての顔も持つ。未来を語り合う場を創っていきたいです。