本稿では、AIエージェントフレームワークOpenClawの権限昇格脆弱性CVE-2026-33579について、攻撃チェーンと実務上のリスクを解説する。本脆弱性はGitHub Security Advisory(GHSA)で2026年3月29日に公開、NVDには3月31日に収載された。2月後半以降、ペアリングやスコープ処理に関連する認可不備が相次いでおり、OpenClawのデバイスペアリングサブシステムに設計レベルの負債が蓄積していることを示している。
OpenClawとは
OpenClawは、急速に普及したオープンソースのAIエージェントフレームワークである。WhatsApp、Slack、Telegram、Discordなどのメッセージングプラットフォームを通じて操作でき、メール送信、ターミナルコマンド実行、ファイル管理、Web閲覧、カレンダー操作といったタスクを自律的に実行する。ローカルで動作し、セッション間で記憶を保持するため、接続先サービスのOAuthトークンやAPIキーを保有した状態で常駐する。
短期間でGitHubの人気プロジェクトとなったが、その急速な普及は深刻なセキュリティ問題を伴っている。
CVE-2026-33579の概要
CVE-2026-33579は、OpenClawの/pair approveコマンドパスにおける権限昇格脆弱性(CWE-863: Incorrect Authorization)である。GitHub Security Advisory(GHSA-hc5h-pmr3-3497)の深刻度はCritical(9.4)、NVDにはVulnCheck提供のCVSS 4.0ベーススコア8.6(High)およびCVSS 3.1ベーススコア8.1(High)が表示されているが、NVD自身の評価は未提供である。GHSAによると影響を受けるバージョンは2026.3.24以前で、修正版は2026.3.28である。
問題の根本原因は、/pair approveコマンドがデバイスペアリングの承認を処理する際に、呼び出し元のセキュリティスコープをコア承認チェックに転送しないことにある。この欠陥により、ペアリング権限(operator.pairing)のみを持つユーザーが、管理者権限(operator.admin)を要求するデバイスリクエストを自己承認できてしまう。影響を受けるコードはextensions/device-pair/index.tsおよびsrc/infra/device-pairing.tsである。
攻撃チェーン
攻撃の流れは以下のとおりである。攻撃者がOpenClawインスタンスに接続し、ペアリングリクエストを発行する。デバイス登録時にoperator.adminスコープを要求し、/pair approveエンドポイントで自己承認する。/pair approveは呼び出し元のスコープを検証しないため、システムは管理者権限を付与する。これによりインスタンス全体の管理者アクセスが確立され、接続されたデータソースの読み取り、クレデンシャルの窃取、任意のツール呼び出し、他のサービスへのピボットが可能になる。攻撃は短時間で成立し得る。
本脆弱性は認可チェックの欠落に起因するため、2FA(二要素認証)単独では根本対策にならない。2FAはログインステップを保護するが、/pair approveコマンドパスの認可ロジックには関与しない。operator.pairingスコープで認証済みであれば、2FA保護されたアカウントであっても権限昇格が成立し得る。
多数の公開インスタンスがリスクを増幅
CVE-2026-33579の深刻度を増幅させているのが、OpenClawのデプロイ状況である。SecurityScorecardは、数万規模の公開OpenClawインスタンスを確認し、観測対象の35.4%をvulnerableと評価している。公開運用されたインスタンスには認証や到達制御が不十分なものが多く観測されており、こうした環境ではCVSSベクトルのPR:L(低権限が必要)が事実上「権限不要」と同義になる。
認証が存在しないインスタンスでは、ネットワーク上の任意の訪問者がペアリングアクセスを要求し、operator.pairingスコープを取得した上で、CVE-2026-33579を悪用して管理者に昇格できる。
相次ぐ認可不備 ― 設計レベルの負債
CVE-2026-33579は単発のバグではない。2月後半以降、ペアリングやスコープ処理に関連する認可不備が相次いでおり、OpenClawのデバイスペアリングおよびスコープ管理サブシステムにCWE-863(Incorrect Authorization)の設計負債が構造的に存在していることを示している。
直前の関連CVEとして、CVE-2026-32922(CVSS 9.9 Critical)はdevice.token.rotateエンドポイントのスコープバリデーションバイパスで、2026.3.11で修正された。CVE-2026-33579は/pair approveという別のコードパスを対象としており、2026.3.11パッチを適用済みでも2026.3.28に更新していなければ本脆弱性にさらされたままとなる。
これまでの各パッチは個別のコードパスに対する修正であり、根本的な認可モデルのアーキテクチャレビューが実施されたことを示す情報は見当たらない。このパターンが続く限り、同種の脆弱性が今後も発見される可能性が高い。
OpenClawの広範なセキュリティ問題
CVE-2026-33579は、OpenClawが2026年初頭から直面しているより大きなセキュリティ危機の一部である。2026年1月下旬に修正パッチがリリースされ、2月にCVE-2026-25253(CVSS 8.8)としてワンクリックRCE脆弱性が公開された。ローカルホストにバインドされたインスタンスであっても、被害者のブラウザを経由してWebSocketハイジャックによりゲートウェイの認証トークンが窃取され、インスタンスの完全な管理者制御を奪取できる脆弱性だった。
OpenClawのスキルマーケットプレイスであるClawHubでも、サプライチェーン汚染が発生している。初期にはレジストリ全体の12%(2,857パッケージ中341件)にキーロガーやクレデンシャルスティーラーが含まれていたことが確認されており、悪意あるスキルの増加は継続している。
対処手順
OpenClawを運用している組織・個人は、以下の対応を行う必要がある。
まず、OpenClawを2026.3.28以降にアップデートする(npm install openclaw@2026.3.28)。2026.3.28より前のバージョンを実行していた場合は、侵害を前提として対応する。具体的には、openclaw devices list --format jsonを実行して管理者デバイスの一覧を確認し、非管理者ユーザーによって承認された管理者デバイスが存在しないか監査する。/pair approveのログを精査し、登録と承認のタイムスタンプが極端に近い承認イベントを特定する。
根本的な対策として、ゲートウェイの認証を有効化し、0.0.0.0ではなく127.0.0.1にバインドしていることを確認する。ペアリング承認権限を管理者のみに制限し、すべてのOAuthトークンとAPIキーをローテーションする。ClawHubから2026年2月以前にインストールしたスキルは、検証が完了するまで信頼しないものとして扱う。
実務視点 ― AIエージェントはシャドーITの新たなリスク
OpenClawの事例は、AIエージェントフレームワークが本質的に高特権の実行環境であることを改めて浮き彫りにしている。ターミナルアクセス、フルディスクアクセス、接続サービスのOAuthトークンを保有するAIエージェントは、侵害された場合の爆発半径が極めて大きい。開発者のマシン上で稼働するOpenClawインスタンスが侵害されれば、APIキー、SSHクレデンシャル、本番環境へのアクセスが露出する。
企業のIT・セキュリティチームにとって、OpenClaw(およびその旧名Moltbot、Clawdbot)が組織内のエンドポイントで無許可で稼働していないかを確認することが急務である。エンドポイントインベントリに含まれていない場合は、システムレベルのアクセスを持つ未認可ソフトウェアとして扱い、何に接続していたかをレビューする必要がある。
コメント