2026年2月1日、AIコーディングエージェント「OpenClaw」にCVSS 8.8の重大脆弱性CVE-2026-25253が公開された。悪意あるWebページを閲覧するだけでリモートコード実行(RCE)が可能になるこの欠陥は、18万人以上の開発者が利用するプラットフォームの根幹を揺るがした。同時期にスキルマーケットプレイスでは230件超の悪意あるスキルが発見され、全スキルの26.1%に何らかの脆弱性が確認されている。AIエージェントが開発者のマシン上でコードを自律実行する時代において、「スキル」という拡張メカニズムそのものが新たなサプライチェーン攻撃の温床となっている実態を、技術的根拠とともに解析する。

CVE-2026-25253:ワンクリックRCEの技術的メカニズム

CVE-2026-25253は、OpenClawのWebSocket接続処理における複合的な設計不備に起因する。脆弱性の核心は、gatewayUrlクエリパラメータを介して外部WebSocket接続を自動確立する仕様にある。攻撃者は悪意あるWebページにOpenClawの接続URLを埋め込み、ユーザーがそのページを開くだけで攻撃チェーンが起動する。

具体的な攻撃フローは以下の通りである。まずWebSocketのOriginヘッダ検証が欠如しているため、任意のWebサイトからの接続要求がlocalhost制限を迂回して受理される。次に、ハンドシェイク過程でユーザーの認証トークンが攻撃者の制御するエンドポイントに送信される。攻撃者は窃取したトークンを用いてexec.approvals.setリクエストでユーザー確認プロンプトを無効化し、config.patchリクエストでDockerサンドボックスを解除、最終的にnode.invokeリクエストで任意のシェルコマンドを実行する。

この脆弱性はCWE-669(不適切なリソース転送)に分類され、DepthFirst社の研究者によって発見された。影響を受けるのはバージョン2026.1.29より前の全バージョンであり、修正パッチは2026年1月29日にリリースされている。ベルギーのCCB(Centre for Cybersecurity Belgium)が緊急アドバイザリを発出するなど、国際的にも重大な脅威として認識された。

スキルマーケットプレイスの構造的欠陥

OpenClawのスキルマーケットプレイスで発見された230件超の悪意あるスキルは、AIエージェントエコシステムにおけるサプライチェーンセキュリティの未成熟さを浮き彫りにしている。分析されたスキルの26.1%に脆弱性が存在し、14種の異なる脆弱性パターンが特定された。

代表的な攻撃事例として、正規の天気予報スキルを装った認証情報窃取ツールがある。このスキルは表面上は天気データを取得するが、裏では~/.clawdbot/.envを読み取り、APIキーやデータベース接続文字列をwebhook.siteに送信していた。開発者が日常的にインストールするユーティリティスキルが、そのまま攻撃ベクトルになり得ることを示した事例である。

問題の根本は、現在のスキルマーケットプレイスのアーキテクチャに4つの構造的欠陥が存在することにある。第一に、コード署名メカニズムがない。npmのようなパッケージマネージャにはPublish時の暗号学的検証が存在するが、エージェントスキルにはこれがない。第二に、権限モデルが不在である。インストールされたスキルはエージェントと同等のフルアクセス権限で実行され、ファイルシステム、ネットワーク、環境変数への無制限なアクセスが可能になる。第三に、マニフェスト/ケイパビリティモデルが存在しない。モバイルアプリストアのようなパーミッション宣言の仕組みがなく、スキルが必要とする権限を事前に把握できない。第四に、サンドボックスが不十分である。多くのスキルがデフォルトでホストマシン上で直接実行される。

OpenClawは2026年2月にVirusTotalとの提携を発表し、公開されるスキルの自動セキュリティスキャン、LLMを活用したコード解析(Code Insight)、悪意あるスキルのダウンロード即時ブロック、アクティブなスキルの日次再スキャンを導入した。しかし、根本的なアーキテクチャの改修なしには対症療法にとどまるとの指摘もある。

間接プロンプトインジェクションとメモリ汚染攻撃

AIエージェントの「メモリ」機能は、ユーザー体験の向上に不可欠な要素である一方、新たな攻撃面を生み出している。Palo Alto Networks Unit 42の研究チームは、間接プロンプトインジェクション(Indirect Prompt Injection: IPI)を介してAIエージェントの長期メモリを汚染する手法を実証した。

この攻撃では、Webページ、メール、ドキュメントなどエージェントが取り込むコンテンツに隠し命令を埋め込む。エージェントがこれらのコンテンツを処理する際に、悪意ある指示が長期メモリに書き込まれ、以後の会話セッションにわたって持続的に悪意ある動作を誘発する。「ZombieAgent」と名付けられたこのエクスプロイトチェーンは、ChatGPTのメモリ機能を標的とした実証であり、メモリシステムが攻撃の持続性と規模を増幅させることを示した。

具体的な攻撃シナリオとして、以下が確認されている。ブラウザ要約機能を悪用した攻撃では、Webページを要約するAIエージェントが、ページ内の隠し命令によって保存済みの認証情報を漏洩する。メールベースの汚染では、メールのメタデータに埋め込まれた指示によりCopilot系ツールが操作される。ドキュメント汚染では、侵害されたドキュメンテーションを読み込んだAIエージェントが、攻撃者の制御するコマンドを実行する。

問題を複雑にしているのは、AIエージェントが接続するデータソースやツールが増えるほど攻撃面が拡大する点である。Webページ取得、メール読み取り、ドキュメント処理、ファイルシステムアクセス、API連携、ナレッジベース取り込み──接続先の増加はそのまま攻撃ベクトルの増加を意味する。

2025〜2026年のAIエージェント脆弱性全体像

OpenClawの事例は孤立したインシデントではない。2025年末から2026年初頭にかけて、AIエージェント基盤に対する重大脆弱性が相次いで公開されている。

2026年1月7日には、ワークフロー自動化プラットフォームn8nにCVSS 10.0(最大深刻度)の脆弱性CVE-2026-21858(通称「Ni8mare」)が公開された。Content-Type偽装によるWebhookリクエスト処理の欠陥を突くもので、認証不要で任意コード実行が可能となり、全世界約10万台のn8nインスタンスに影響した。Cyera Research Labsが発見し、バージョン1.121.0で修正された。

2025年12月には、LangChainのPythonコアライブラリにCVSS 9.3の脆弱性CVE-2025-68664(通称「LangGrinch」)が報告された。dumps()およびdumpd()関数における予約済み「lc」キーのエスケープ不備が原因で、LLMの応答フィールドを介したプロンプトインジェクションにより、AWS・GCP・Azureの認証情報、データベース接続文字列、LLM APIキーなどの環境変数が外部に送信される可能性があった。バージョン0.3.81および1.2.5で修正されている。

サプライチェーン攻撃の面では、2025年8月から11月にかけてNxパッケージが侵害され、1,079の開発者システムから2,349件の認証情報が窃取されるインシデントが発生した。また、Barracuda Securityの2025年11月の報告では、43種のエージェントフレームワークコンポーネントにサプライチェーン脆弱性が確認されている。

エージェント時代のサプライチェーン防御戦略

AIエージェントのセキュリティ課題は、従来のソフトウェアサプライチェーンセキュリティの延長線上にあると同時に、固有の複雑性を持つ。以下に、現時点で有効とされる防御アプローチを整理する。

ケイパビリティベースのセキュリティモデル導入が最優先事項である。各スキルが必要とする権限(ファイルアクセス、ネットワーク接続、環境変数参照など)をマニフェストで宣言し、実行時に最小権限原則を適用する。WebExtensionsのパーミッションモデルやiOS/Androidのアプリ権限が参考になる。

スキルの暗号学的署名と検証も不可欠である。Sigstoreのような透過性ログを活用し、スキルの作成者・ビルドプロセス・依存関係を暗号学的に検証可能にする。npmのプロベナンス検証やSBOM(Software Bill of Materials)との連携も有効である。

エージェントメモリの監査と保護については、メモリへの書き込みに対する監査ログの整備、メモリコンテンツの定期的なサニタイズ検査、信頼できないソースから取り込んだ情報の隔離(メモリのゾーニング)が推奨される。

多層的な実行時防御として、コンテナやmicroVMによるサンドボックス化、ネットワークセグメンテーションによる外部通信の制限、認証情報のローテーションと短命トークン化が有効である。組織レベルでは、AIエージェントの利用ポリシー策定、インストール可能なスキルのホワイトリスト管理、セキュリティチームによる定期的なスキル監査が必要となる。

FAQ

CVE-2026-25253はどのような脆弱性か?

OpenClawのWebSocket接続処理におけるOrigin検証の欠如を突いた脆弱性である。悪意あるWebページを開くだけで認証トークンが窃取され、サンドボックス無効化を経てリモートコード実行に至る。CVSS 8.8で、2026年1月29日リリースのバージョンで修正済み。

スキルマーケットプレイスの脆弱性はなぜ深刻なのか?

エージェントスキルはホストマシン上でフルアクセス権限で動作するため、悪意あるスキル1つでファイルシステム、認証情報、ネットワークの全てが侵害される。コード署名や権限モデルが未整備な現状では、従来のパッケージマネージャよりもリスクが高い。

間接プロンプトインジェクションによるメモリ汚染はどう防ぐか?

メモリ書き込みの監査ログ整備、信頼できないソースからの情報の隔離(メモリゾーニング)、定期的なメモリコンテンツの検査が推奨される。エージェントが取り込むデータソースごとに信頼レベルを設定するアーキテクチャが有効とされる。

AIエージェント利用者が今すぐ取るべき対策は?

エージェントと関連ツールを最新バージョンに更新すること、信頼できないスキルのインストールを避けること、環境変数に格納する認証情報を最小限にすることが基本対策となる。可能であればコンテナ内での実行を推奨する。

参考文献