OpenClaw で 360 スマートエージェントが重大な脆弱性を発見し、世界 17 万件の事例に影響

中国360デジタルセキュリティ・グループ傘下のマルチエージェント協調型脆弱性探索システムにおいて、AIエージェントツールのOpenClawで高危険度の脆弱性が見つかり、中国国家情報セキュリティ脆弱性データベース（CNNVD）により確認されました。この脆弱性は、世界50以上の国・地域にある公開アクセス可能な17万件超のインスタンスに影響し、攻撃者はグループチャットの基本メンバー権限のみで、プラットフォーム上のすべてのツールのセキュリティポリシーを回避し、サーバーの機密情報を直接窃取できます。

脆弱性の核心：MEDIAプロトコルのアーキテクチャ上の盲点

360のセキュリティ研究者は、この脆弱性を「MEDIAプロトコルのプロンプトインジェクションによるツール権限の回避とローカルファイルの漏えい」と名付けました。その危険性は、OpenClawのアーキテクチャ設計における根本的な欠陥に起因します。

MEDIAプロトコルは、出力後処理層で動作し、プラットフォームのツール戦略の制御メカニズムの後段に位置しているため、すべてのツール呼び出し制限を完全に回避できます。つまり、管理者がOpenClaw上のすべてのツール呼び出しを明確に無効化していても、攻撃者はこの脆弱性を利用でき、グループチャットの基本メンバー権限だけで、特別な許可を必要とせずにサーバーのローカルの機密ファイルを直接窃取できます。

この「後処理層の回避」という設計上の欠陥により、従来のツールのホワイトリスト防御戦略は完全に機能しなくなります。攻撃者は、自動化ツールを使って世界の17万件の露出インスタンスに大規模なスキャン攻撃を仕掛けることができ、さらにその後の侵入の足掛かりとして利用する可能性もあります。

OpenClawの世界的な拡大と中国での採用状況

OpenClawは、オーストリアのエンジニアPeter Steinbergerが2025年11月にオープンソースとして公開した無料のAIエージェントで、WhatsAppなどのメッセージングアプリを通じて指示を送信し、コンピュータのアプリケーション、Webブラウザ、スマートホームデバイスを自律的に制御できます。以下は、その世界的な採用状況に関する主要データです：

中国のユーザー規模は世界で1位：ニューヨークのSecurityScorecardの分析によれば、中国のアクティブユーザー数は2位の米国の約2倍

ビジネス・エコシステムが急速に形成：中国のテックプラットフォーム上で、OpenClawのインストールおよび設定サービスが登場しており、価格は7〜100米ドルの範囲

ローカライズ派生バージョン：DuClaw、QClaw、ArkClawなどの中国向けカスタム版が相次いで登場

政府補助による支援：各地の地方政府が、バーチャルアシスタントを採用する企業に対する補助を約束

セキュリティ脅威の規模：世界50以上の国で、17万件超の公開アクセス可能なOpenClawのインスタンスが今回の脆弱性の脅威に直面

機関による二重の警告：セキュリティ機関と国家脆弱性データベースが連動して対応

360がこの脆弱性を開示する前に、中国の2つの国家レベルのネットワークセキュリティ機関が先行して警告を出し、OpenClawの導入には「重大なリスク」があると指摘しました。これには、遠隔制御やデータ漏えいの可能性が含まれ、個人ユーザーから企業、さらにはクラウドサービス提供事業者までをカバーする詳細なセキュリティの推奨事項が公開されました。

CNNVDによる正式な確認により、このセキュリティ脅威は警告段階の評価から、検証済みの能動的な攻撃面へと格上げされたことを意味します。セキュリティ研究者は、影響を受けるインスタンスがすべて公開アクセス可能であること、加えてグループチャット入口のハードルが低いことから、大規模な自動化攻撃の実現可能性は非常に高く、迅速な修復が現在の最優先事項だと指摘しています。

よくある質問

OpenClawのMEDIAプロトコルの脆弱性はなぜ特に危険なのですか？

MEDIAプロトコルは出力後処理層で動作し、プラットフォームのツール戦略の制御の後に位置しているため、構成済みのすべてのツール無効化ルールを完全に回避できます。管理者がすべてのツール呼び出しを無効化していても、攻撃者はこの脆弱性を利用し、グループチャットの基本メンバー権限だけでサーバーのローカルの機密ファイルを直接読み取ることができ、従来のツールのセキュリティポリシーが完全に無効化されます。

影響を受けたOpenClawのインスタンスは緊急的にどのように対応すべきですか？

公式なパッチ公開前は、以下の緊急緩和措置を取ることが推奨されます：OpenClawインスタンスの公開ネットワークへの直接露出を制限する；MEDIAプロトコルに関連する機能を一時停止する；グループチャットのメンバーのアクセスに対して厳格な身元認証の制御を行う；サーバーの機密ディレクトリに対する異常なアクセス行為を継続的に監視する。

この脆弱性は企業および政府のOpenClaw導入環境にどのような影響がありますか？

CNNVDによる正式な確認は、この脆弱性が高度に信頼できる攻撃の実現可能性を持つことを意味します。生産環境でOpenClawを導入している企業（中国の地方政府補助を受けた導入企業を含む）では、ただちにセキュリティ監査を実施し、データ漏えいの実際の露出度合いを評価する必要があります。特に、グループチャット機能が開放され、かつMEDIAプロトコルが有効化されているインスタンスでは、迅速な対応が求められます。