概要
OpenClawのバージョン2026.3.11より前の製品において、認証バイパスの脆弱性(CVE-2026-32976)が発見されました。この脆弱性は、チャネルコマンドを介して、本来保護されているはずの別アカウントの設定を不正に変更することを可能にするものです。具体的には、configWrites: falseと設定され、設定変更が制限されているターゲットアカウントに対しても、攻撃者が正規の権限を持つアカウントから/config set channels..accounts.のようなチャネルコマンドを実行することで、設定を改ざんできると報告されています。
影響範囲
- 対象製品: OpenClaw
- 影響を受けるバージョン: OpenClaw 2026.3.11より前のすべてのバージョン
想定される影響
本脆弱性が悪用された場合、以下のような影響が想定されます。
- 不正な設定変更: 攻撃者が、保護された別アカウントの重要な設定を意図せず変更する可能性があります。これにより、サービス運用に支障をきたしたり、セキュリティ設定が無効化されたりする恐れがあります。
- 権限昇格や情報漏洩の可能性: 設定変更の内容によっては、攻撃者がさらにシステムへのアクセス権限を拡大したり、機密情報を窃取したりする足がかりとなる可能性も考えられます。
攻撃成立条件・悪用状況
- 攻撃成立条件: 攻撃者は、OpenClawシステム上のいずれかのアカウントに対して、正規の認証されたアクセス権限を持っている必要があります。この権限を利用して、チャネルコマンドを実行します。
- 悪用状況: 現時点では、本脆弱性の具体的な悪用状況に関する詳細な情報は報告されていません。
推奨対策
最優先で実施すべき対策
- OpenClawのアップデート: 開発元から提供されているOpenClawの最新バージョン(2026.3.11以降)へ、速やかにアップデートを実施してください。これにより、本脆弱性が修正されます。
中長期的に検討すべき対策
- アクセス制御の見直し: 各アカウントの権限設定を最小限に抑え、不要な権限が付与されていないか定期的に確認してください。
- システム監視の強化: OpenClawのログを定期的に監視し、不審なチャネルコマンドの実行や設定変更がないかを確認する体制を強化してください。
一時的な緩和策
現時点では、本脆弱性に対する具体的な一時的緩和策は報告されていません。最善の対策は、速やかに修正パッチを適用することです。
確認方法
ご利用中のOpenClawのバージョンを確認し、2026.3.11より前のバージョンである場合は、本脆弱性の影響を受ける可能性があります。