OpenClawに5件のゼロデイ脆弱性が存在することが2026年6月3日に報じられた。
OpenClawはSlack、Discord、Microsoft Teams、Matrix、Telegram、ZaloとAIエージェントを連携させ、やり取りできる相手を許可リストで判定するツールである。フィリップ・ガラバンディック氏は、許可リスト処理時のアイデンティティ解決の不備を発見した。表示名を許可リスト上の利用者に合わせて改名するだけで、攻撃者はなりすましが可能となる。問題は当初Telegram連携で確認・修正されたが、同じ原因がSlack、Discord、Matrix、Zalo、Microsoft Teamsにも残存していた。発見にはAI駆動の静的解析ツールagentggが用いられた。
From: Five OpenClaw 0-Days let Attackers to Hijack Trusted AI Agent Access
【編集部解説】
まず、今回の「5件のゼロデイ」が何を指すのかを整理しておきます。OpenClawはもともとTelegram連携で同種の不具合が見つかり、GHSA-mj5r-hh7j-4gxfとして修正済みでした。ところが同じ原因が、Slack、Discord、Matrix、Zalo、Microsoft Teamsという5つの連携機能に別々に作り込まれていたのです。つまり「新種のバグが5つ」ではなく、「一度直したはずのバグが、別の場所に5回コピーされていた」という構図になります。なお、このうちSlack・Discord・Matrix・Zaloの各不具合はGitHubの公式アドバイザリで確認できますが、Microsoft Teams分については、参照元記事と発見者本人の解説には記載があるものの、対応する公式アドバイザリを本稿執筆時点で確認できていません。
技術的な核心はシンプルです。OpenClawは「誰がAIエージェントに命令してよいか」を許可リストで管理しますが、起動時に「表示名」という後から変えられる情報をもとに本人確認を組み立てていました。表示名は誰でも変更できるため、攻撃者は許可された人物の名前に自分を改名し、サービスの再起動を挟むだけで「信頼された人」として登録されてしまいます。鍵そのものではなく、鍵に貼られた名前ラベルを見て扉を開けていた、と言い換えると分かりやすいかもしれません。
参照元の記事はこの欠陥をCWE-639(利用者が操作できるキーを通じた認可回避)と説明しています。一方、GitHub公式アドバイザリで確認できるSlack、Discord、Matrix、Zaloの各不具合は、いずれもCWE-290(Authentication Bypass by Spoofing)に分類されています。番号こそ揺れますが、いずれも「書き換え可能な表示名・識別子を信頼の根拠にしてしまった」という一点で共通します。Webの世界では何十年も前から知られてきた失敗の型が、AIエージェントという新しい器の中で再演されている、という点に注目したいところです。
影響の射程は、相手が「AIエージェント」であるがゆえに通常の不正アクセスより広がります。OpenClawはファイルシステムやシェル、認証情報、各種SaaSに接続して自律的に動く設計のため、なりすましが成立すると、任意のコマンド実行やデータの持ち出し、連携システムへの横移動にまで発展しかねません。しかも正規の利用者は静かに締め出されるため、乗っ取られたことに気づきにくいのも厄介な性質です。
ここで、参照元の記事とは少し違う角度から光を当ててみます。今回いちばん示唆に富むのは、脆弱性の中身よりも「見つけ方」のほうだと編集部は考えます。発見者のフィリップ・ガラバンディック(Philip Garabandic)氏は、過去にOpenClawへ出されたアドバイザリをAIに読み込ませ、繰り返し現れる「失敗のクセ」ごとに検出器を自動生成させました。氏の解説によれば、この工程から生まれた検出器は12個。そのうちの一つが、今回の「変更可能な識別子を信頼境界に使う」パターンを横断的に拾い上げたのです。
使われたagentggは、本人いわく「YAMLテンプレートではなくAIエージェントで動くNuclei」のようなツールで、オープンソースとして公開されています。従来型の静的解析が汎用的なバグの型しか見られなかったのに対し、自社の過去インシデントを“そのまま検出ルールに変換できる”点が新しさです。平たく言えば、組織の記憶を防御の自動化に変える試みと言えるでしょう。
つまりこの一件は、AIエージェントの弱点を、別のAIエージェントが過去の教訓を学んで発見した、という入れ子構造になっています。攻める側だけでなく守る側でもAIが前提になりつつある現在地を、象徴的に映し出していると見ることができます。
ポジティブな側面は明確です。人間のレビューでは「前にも見た気がする」で終わりがちな再発パターンを、機械が疲れずに全モジュールへ当てて回れるようになります。一度の事故を、二度と同じ轍を踏まないための“資産”へ変換できるわけです。
一方で、潜在的なリスクも見落とせません。検出器をAIが生成するということは、その精度や見落としもAIの判断に依存するということです。さらに、同じ手法は攻撃側にも開かれています。過去のアドバイザリから「狙い目のクセ」を学んで横展開する発想は、防御にも攻撃にも等しく効いてしまいます。
規制・ガバナンスの観点では、AIエージェントを「権限を持つ一つの主体」として、サービスアカウント並みに監査・管理すべきだという議論が今後強まると予想されます。背景として、OpenClawは過去数カ月にわたり多数の脆弱性報告が続き、ネット上に露出したインスタンスも多数報告されてきた経緯があります。“便利だから入れた”自律エージェントが、企業のセキュリティ統制の外側で動いている状態を、どう可視化し規律づけるかが問われています。
長期的に見れば、本件の教訓は「一カ所を直しても、脆弱性の“型”そのものは消えない」という一点に尽きます。AI連携が増え、同じコードが分散開発で何度も書き写されるほど、個別パッチを追う発想は限界を迎えます。過去の失敗を構造的に検出へ落とし込む仕組みを、誰がどう運用するか。Tech for Human Evolutionを掲げる私たちにとって、これは「人類が自らの失敗をどう記憶し、次世代の道具に引き継ぐか」という、技術史的な問いそのものだと受け止めています。
【用語解説】
ゼロデイ(脆弱性):修正パッチが提供される前の段階で発見・悪用されうる脆弱性のこと。防御側に「準備期間ゼロ」で突きつけられる点が名称の由来である。
AIエージェント:人間の指示や状況に応じて、自ら判断しながらツールやサービスを操作してタスクを実行するAIプログラム。OpenClawはこの種の自律エージェントにあたる。
許可リスト(allowlist):あらかじめ承認した相手だけにアクセスや操作を許す方式。今回は「誰がエージェントに命令できるか」をこの仕組みで管理していた。
信頼境界(トラストバウンダリ):「ここから内側は信頼してよい」と線引きされた範囲のこと。攻撃者はこの境界をすり抜けることで、本来許されない操作を実行する。
アイデンティティ解決:「この相手は誰か」を識別情報から確定する処理。表示名のような変更可能な情報で確定すると、なりすましの余地が生まれる。
表示名(ディスプレイネーム):チャット上で見える呼び名。多くのプラットフォームで本人が自由に変更できるため、本人確認の根拠にすると危うい。
静的解析(SAST):プログラムを実行せず、ソースコードを読み解いて脆弱性を探す手法。agentggは、これをAIエージェントに行わせる新しい方式を採る。
CWE(共通脆弱性タイプ):脆弱性の種類を整理した共通分類。参照元記事は本件をCWE-639(利用者が操作できるキーによる認可回避)と説明する。一方、GitHub公式アドバイザリで確認できる今回のSlack、Discord、Matrix、Zaloの各不具合は、CWE-290(Authentication Bypass by Spoofing)に分類されている。
CVE:個別の脆弱性に世界共通の通し番号を振る仕組み。OpenClawはこれまで多数の脆弱性が報告されてきたが、今回の対象はGitHubのアドバイザリ(GHSA)として公開され、多くはCVE番号が未採番(No known CVE)である。
GHSA(アドバイザリ):GitHubが発行するセキュリティ勧告。今回最初に修正されたTelegram連携の不具合は、GHSA-mj5r-hh7j-4gxfとして公開された。
ラテラルムーブメント(横移動):侵入した一点を足がかりに、連携する別のシステムへ侵害を広げる動きのこと。AIエージェントは多くのサービスと繋がるため被害が拡大しやすい。
サービスアカウント:人間ではなく、システムやプログラムが自動処理に使う権限付きのアカウント。AIエージェントを同等の「管理対象」とみなすべきだという議論につながる。
【参考リンク】
OpenClaw(公式サイト)(外部) メッセージアプリを主な操作画面とする、オープンソースの自律型AIエージェント。本件で脆弱性が報告された対象ソフトウェア。
OpenClaw(GitHubリポジトリ)(外部) OpenClaw本体のソースコードを公開する公式リポジトリ。修正履歴やセキュリティ勧告もここを起点に確認できる。
OpenClaw Security Advisories(GitHub)(外部) OpenClawの公式セキュリティ勧告の一覧ページ。各不具合の正式な分類や修正版を一次情報で確認できる。
agentgg(公式サイト)(外部) 今回の発見に使われた、AIエージェント方式の静的解析ツール。過去のCVEから検出器を自動生成する点が特徴である。
agentgg(GitHubリポジトリ)(外部) agentggのソースコードと使い方を公開する公式リポジトリ。npmでも同名のパッケージとして配布されている。
Slack(外部) 業務向けチャットツール。OpenClawの連携先の一つで、今回同じ不具合が残存していた拡張機能に含まれる。
Discord(外部) コミュニティ向けの音声・テキストチャット。今回ゼロデイ脆弱性の影響を受けた連携先の一つである。
Microsoft Teams(外部) Microsoftの法人向けコラボレーションツール。今回不具合が指摘された連携先だが、公式アドバイザリは未確認である。
Matrix(外部) 分散型でオープン規格のリアルタイム通信プロトコル。OpenClawの連携先として今回影響を受けた。
Telegram(外部) クラウド型メッセージングアプリ。本件の根本原因が最初に見つかり、先行して修正された連携先である。
Zalo(外部) ベトナムで広く使われるメッセージングアプリ。今回影響を受けた連携先に含まれ、日本では馴染みが薄い。
MITRE CWE-639(外部) 参照元が言及したCWE-639の公式定義ページ。MITREが管理する共通の弱点分類である。
MITRE CWE-290(外部) GitHub公式アドバイザリで確認できる今回の各不具合に付与されたCWE分類。正式名称はAuthentication Bypass by Spoofingである。
GitHub Advisory(GHSA-mj5r-hh7j-4gxf)(外部) Telegram連携の不具合への最初の修正勧告。今回の「再発」を理解する出発点となる勧告である。
【参考記事】
One Agent, Five Zero-Days: Turning Past CVEs Into SAST Rules(InfoSec Write-ups)(外部) 発見者本人の一次解説。過去のアドバイザリから自動生成した12個のエージェントの一つが今回の不具合を発見した経緯を説明する。
A Systematic Taxonomy of Security Vulnerabilities in the OpenClaw AI Agent Framework(arXiv)(外部) OpenClawの脆弱性を体系化したプレプリント論文。許可リスト系13件が「可変な識別子」を共通の根本原因とすると整理する。
AgentGG(公式サイト)(外部) 発見に使われたAI型解析ツールの公式説明。過去のCVEから生成したエージェントで5件のゼロデイを特定したとする。
ClawJacked: OpenClaw Vulnerability Enables Full Agent Takeover(Oasis Security)(外部) 別系統の脆弱性調査。OpenClawの普及度や修正対応に触れている。
Nine CVEs in Four Days: Inside OpenClaw’s March 2026 Vulnerability Flood(openclawai.io)(外部) 脆弱性多発の状況を俯瞰する記事。OpenClawをめぐるセキュリティ報告の多さを理解する参考になる。
New OpenClaw AI agent found unsafe for use(Kaspersky)(外部) ベンダーによる注意喚起。OpenClaw利用時のリスクや隔離の必要性について触れている。
Researchers Reveal Six New OpenClaw Vulnerabilities(Infosecurity Magazine)(外部) OpenClawに関する別系統の脆弱性報道。従来型SASTの限界や複数の高深刻度脆弱性について報じている。
【編集部後記】
便利だからと迎え入れたAIエージェントが、いつのまにか自分のファイルや認証情報に手の届く「権限を持った同居人」になっている——そんな感覚を、みなさんはお持ちでしょうか。今回の一件は、その同居人の合鍵が思いのほか簡単に複製できた、という話でもあります。あなたが日々触れているツールは、誰を「信頼してよい相手」と判断しているでしょう。私たちもまだ答えを探している途中です。よければ一緒に、自分の手元から考えてみませんか。
