🔥 この記事の詳細
2026-05-15 更新
B
今週中

OpenClawにおいて、データ窃取、権限昇格、および永続性の確保を可能にする4つの脆弱性(Claw Chain)

脆弱性🌐 英語ソース📰 2記事🌐 2 countries
🇨🇳 China · 🇺🇸 US
🔢 CVECVE-2026-44112CVE-2026-44113CVE-2026-44115
📅 2026-05-15📰 hackernews
📌 一言でいうと
OpenClawにおいて、データ窃取、権限昇格、および永続性の確保を可能にする4つの脆弱性(Claw Chain)が発見されました。具体的には、OpenShellのサンドボックス制限を回避してファイル読み書きを行うTOCTOU競合状態や、入力バリデーションの不備によるコマンド実行が可能です。攻撃者がこれらを連鎖的に利用することで、機密データの露出やバックドアの設置が行われるリスクがあります。
🔍該当判定
  • AI開発や運用で「OpenClaw」というツールを導入・利用している
  • AI実行環境として「OpenShell」のサンドボックス機能を利用している
  • 自社サーバーやクラウド上でOpenClawを動作させている
上記いずれにも該当しない → 静観でOK
該当時の対応
最新のセキュリティパッチを適用し、サンドボックス設定および入力バリデーションの構成を確認してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】OpenClaw 脆弱性 (Claw Chain) 対応について

お疲れさまです。OpenClawにおける一連の脆弱性に関する情報共有です。

■ 概要
OpenClawにおいて、サンドボックス回避やコマンド実行を可能にする4つの脆弱性(Claw Chain)が報告されました。CVE-2026-44112/44113ではTOCTOU競合状態によりサンドボックス外へのアクセスが可能となり、CVE-2026-44115では入力バリデーションの不備により任意のコマンド実行が可能です。CVSSスコアは最大9.6と非常に高く、権限昇格や永続性の確保に繋がります。

■ 影響範囲
- OpenClaw / OpenShell を利用している環境

■ 対応手順
1. 利用しているOpenClawのバージョンを確認してください。
2. ベンダーから提供される最新の修正パッチを適用してください。
3. サンドボックスの権限設定および入力フィルタリングの再点検を行ってください。

■ 参考情報
- Cyera セキュリティレポート

対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] OpenClaw Vulnerabilities (Claw Chain)

Dear IT/Security Team,

We are sharing information regarding a set of vulnerabilities in OpenClaw, collectively known as 'Claw Chain'.

■ Overview
Four flaws have been identified that allow attackers to bypass sandbox restrictions and execute unapproved commands. Specifically, CVE-2026-44112 and CVE-2026-44113 involve TOCTOU race conditions in the OpenShell backend, while CVE-2026-44115 allows command execution via shell expansion tokens in heredocs. These can be chained to achieve data theft, privilege escalation, and persistence (Max CVSS 9.6).

■ Scope
- Environments utilizing OpenClaw / OpenShell

■ Mitigation Steps
1. Identify all instances of OpenClaw in the infrastructure.
2. Apply the latest security patches provided by the vendor.
3. Review sandbox configurations and input validation policies.

■ Reference
- Cyera Security Report

Priority: High
Deadline: Immediate
📰 関連する 1 件の記事
freebufOpenClawにおいて、データ窃取、権限昇格、および永続化を可能にする4つの脆弱性(Claw Chain)
🔗 元の記事を読む
← トップへ戻る🗓 2026-05-15 のまとめ🔍 記事を検索