OpenClawの権限昇格の脆弱性 (CVE-2026-33579)

 (nvd.nist.gov)
3 ポイント 投稿者 GN⁺ 25 일 전 | 1件のコメント | WhatsAppで共有
  • OpenClaw 2026.3.28より前のバージョンで、非管理者ユーザーが管理者権限の要求を承認できてしまう権限昇格の脆弱性が発見された
  • /pair approve コマンドで scope の受け渡し漏れ があるため、承認検証が正しく行われず、不適切な認可 (CWE-863) の問題が発生する
  • この脆弱性は CVSS v4.0で8.6点v3.1で8.1点 となっており、いずれも 高 severity (HIGH) と評価されている
  • 脆弱なコードは extensions/device-pair/index.tssrc/infra/device-pairing.ts に存在し、2026.3.28バージョンで修正された
  • ユーザーおよび管理者は 修正済みバージョンへ更新 し、GitHubセキュリティ勧告 (GHSA-hc5h-pmr3-3497) を参照する必要がある

脆弱性の概要

  • OpenClaw 2026.3.28より前のバージョン権限昇格の脆弱性 が存在する
    • /pair approve コマンド経路で呼び出し元の scope の受け渡しが欠落 しており、承認検証が正しく実行されない
    • ペアリング権限のみを持つユーザー が、管理者権限なしでも 管理者アクセス権を含むデバイス要求を承認 できてしまう
    • 脆弱なコード位置は extensions/device-pair/index.ts および src/infra/device-pairing.ts と確認されている

影響と深刻度

  • CVSS v4.0で8.6点 (HIGH)

    • ベクトル: AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N

  • CVSS v3.1で8.1点 (HIGH)

    • ベクトル: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
    • CWE-863 (Incorrect Authorization) に分類される
    • 誤った認可検証により、非管理者ユーザーが管理者レベルの操作を実行できてしまう問題

影響を受けるソフトウェア

  • OpenClaw Node.jsバージョン のうち、2026.3.28より前のバージョン が脆弱である
    • CPE識別子: cpe:2.3:a:openclaw:openclaw:*:*:*:*:*:node.js:*:*
    • 以降のバージョンで問題は修正済み

修正と推奨される対応

変更履歴

  • 2026-03-31: VulnCheckが新規CVEを登録し、CVSS情報を追加
  • 2026-04-01: NISTが初期分析とCPE構成を追加
  • 主な変更内容
    • CVSS v3.1ベクトルを修正
    • CWE-863を追加
    • GitHubのパッチおよび勧告リンクを登録

出典および管理情報

  • CVE ID: CVE-2026-33579
  • 発行機関: NIST National Vulnerability Database (NVD)
  • 登録元: VulnCheck
  • 初回公開日: 2026年3月31日
  • 最終更新日: 2026年4月1日

関連記事

1件のコメント

 
GN⁺ 25 일 전
Hacker News の意見

  • OpenClaw の作者です
    今回の問題は権限昇格バグでしたが、「任意の Telegram/Discord メッセージだけですべてのインスタンスを乗っ取れる」というレベルではありませんでした
    原因は不完全な修正で、/pair approve プラグインのコマンド経路が callerScopes なしで承認関数を呼び出していたため、scope-ceiling の回避が可能になっていました
    つまり、すでにゲートウェイアクセス権を持つクライアントが /pair approve latest コマンドでより広い権限(例: operator.admin)を承認できていました
    これは Telegram やメッセージプロバイダー固有の問題ではなく、プラグインコマンド処理の共通ロジックにあった脆弱性でした
    Telegram の場合、デフォルトの DM ポリシーが部外者を遮断するため、「1 通のメッセージで管理者権限を取得」は不可能でした
    個人アシスタント用途で使う限り実質的なリスクは非常に低く、現在は Nvidia、ByteDance、Tencent、OpenAI のエンジニアたちとともにコードベースを強化しています

    • OP の統計についてもう少し説明してもらえるのか気になる
      「13万5千以上の OpenClaw インスタンスが公開されており、そのうち 63% が認証なしで動作しているため誰でもペアリング要求を送れる」という話が本当なのか確認したい
      これが事実なら、作者が言うリスク評価とはまったく違う話になる
    • 「Nvidia、ByteDance、Tencent、OpenAI と一緒に作業中」というのが具体的に何を意味するのか気になる
      これらの企業と契約があるのか、それとも単にその会社の社員がオープンソースに貢献しただけなのか知りたい
    • 「Nvidia、ByteDance、Tencent、OpenAI? うわ!」
      こうした大企業が関わっているとは驚きだ
    • 「コーディングはもう解決済みの問題じゃないの?」という冗談交じりの反応
      「Claude Code に『セキュリティを強化して』とプロンプトすればいいんじゃないか」という形のAI 風刺も添えている

  • days-since-openclaw-cve.com のリンクを共有している
    OpenClaw のリリース以降、1 日平均 1.8 件の CVE が報告されているという

    • その数字は本当にひどいと感じる
      もちろん OpenClaw のように注目されているプロジェクトなら脆弱性が多く見つかることはあり得るが、「1日 1.8 件」は常識的に多すぎる
      このレベルなら、合理的な人ならそのソフトウェアを避けるべきではないかという疑問を呈している

  • 削除された Reddit 投稿のアーカイブリンクを共有している

    • おそらくAI スパムと判断されて削除されたようだ
      投稿者のほかの投稿もすべて AI プロジェクトの宣伝だったという
    • 「そのリンクを冒頭のテキストに追加しておく」と述べている

  • 自分は OpenClaw は使っていないが、Claude CodeCodex を制限付きの macOS ユーザーアカウントで実行している
    become-agent [cmd ...] スクリプトを通して sudo で制限アカウントから実行し、自分の環境変数やディレクトリにアクセスできないようにしている
    こうすれば完全な sandbox-exec より複雑さが少なく、それでいて安全だ
    Unix システムはもともとこうしたマルチユーザー分離構造に強い

    • 自分はカーネルレベルのサンドボックス化が重要だと思う
      greywall というツールを使って、ファイルシステムとネットワークを syscall 単位で分離している(Landlock + Seccomp + eBPF ベース)
      ただし「Unix はこうしたエージェント実行のために設計されたものではない」という点には同意しない
    • Apple のオープンソースコンテナツールを使えば、root 権限なしで100ms 以内に Linux VMを起動できる
      Apple Virtualization Framework では、別の Apple ID を持つ macOS VM も実行可能だ

  • まだ OpenClaw を使っている人がいることに驚く
    みんな Nanoclaw や Nemoclaw に移ったものだと思っていたが、単なる惰性なのだろうか

    • 自分は Hermes を使っている
      どんなエージェントでもサンドボックス内で実行すべきだ
      Hermes GitHub リンク
    • NemoClaw は OpenClaw のセキュリティラッパーにすぎず、代替品ではない
    • 「OpenClaw はいまひとつだが、大半の人はそれを知らない」と率直に述べている

  • これは予想された結果だと思う
    セキュリティ知識が不足した人たちがインスタンスを公開してしまうのは愚かだが、同時に誰でも面白い IT 実験をできるようになったのは素晴らしいことでもある
    結局は自由とリスクのバランスの問題だ。車を自分で整備するのと同じで、楽しいが失敗すれば大事故になり得る
    近頃はセキュリティ・プライバシー・気候変動のどれも悪化傾向にあるが、人間はいまだに「すごいものを作りたい」という欲求を優先している

    • 問題は、こうしたリスクをそもそも認識していない人が多いことだ
    • 「車の例」のように、誤った設定が他人にも被害を与え得る
      セキュリティ知識のない利用者がインターネット全体を危険にさらすことさえある
      結局、無責任な実験の代償を社会全体が負うことになる

  • /r/sysadmin スレッドの反応が、自分がこれまで見てきた典型的なシステム管理者たちの会話そのものだと感じる

  • タイトルはやや誇張されたクリックベイトっぽい
    実際に危険なのは、OpenClaw が公開サーバー上で動いている場合だけだ
    50 万件のうち 13 万 5 千件が公開インスタンスだとしても、割合としてはそこまで大きくない

    • 「5 分の 1なら、セキュリティの話では『かなり多い』と見るべきだ」と言っている
    • 「25% を超えていれば『おそらくそうだ』と言うには十分だ」と付け加えている
    • 「13万5千インスタンス」という数字は信頼しにくいと見ている
    • 「35% という統計は作り話だ」という冗談で疑念を示している
    • それでも 65% が認証なしで動作しているなら危険ではある
      誇張気味のタイトルであっても、セキュリティ意識を高める効果があるなら意味はあると思っている

  • 「危険なのは OpenClaw インスタンスがインターネットに公開されているときだけだ」と述べている

    • ただし、最近までデフォルト設定が 0.0.0.0 バインドだったと指摘している
      ルーターが防いでくれると思い込むようなユーザーなら OpenClaw を使うべきではない
      関連する issue と commit のリンクを共有している

  • 「デフォルトで管理者権限がインターネットに露出する設定ではない」と主張している