OpenClaw AIでログ汚染を悪用可能な脆弱性が判明

OpenClaw AIでログ汚染の脆弱性、プロンプト挿入による挙動改変の恐れ

OpenClaw AIアシスタントに、いわゆる「ログ汚染」と呼ばれる脆弱性が確認された。本問題は、間接的なプロンプト挿入を通じてエージェントの処理フローに影響を与える可能性があるものだ。

攻撃者が細工した入力をログに残すことで、その内容が後続の処理に取り込まれ、意図しないコマンド実行につながる恐れがある。自律型エージェントのログが信頼前提で参照される設計の場合、挙動改変のリスクが生じる。

OpenClawが外部サービスや複数のシステムと連携する構成を採用していることから、影響範囲の精査が求められている。

WebSocket処理の不備が要因、ログ記録の設計に課題

脆弱性は、WebSocket接続処理を担う「ws-connection.ts」内で確認された。デバッグログにおいて、User-AgentおよびOriginヘッダーの値が十分な検証を経ずに記録される設計となっていた点が問題とされる。

この挙動により、攻撃者は細工したヘッダー情報をログへ混入させることが可能となる。報告では、最大約14.8KBの入力が挿入可能であり、その内容が後続の処理に影響を与えるおそれがあるという。

本件は従来型のリモートコード実行とは性質が異なり、ログを経由してAIの判断や挙動に干渉する点が特徴とされる。攻撃者がOpenClawインスタンスのTCPポート（18789）へアクセス可能な環境では、悪意のあるペイロードを送信し、デバッグ処理の過程で想定外の入力が取り込まれる可能性がある。結果として、機密情報の参照や動作改変につながるリスクが指摘されている。

修正版公開、運用面での対策も重要

OpenClaw開発チームは、本件に対応する修正版（2026.2.13）を公開した。利用者に対しては、速やかなアップデートの適用が求められている。

あわせて、運用面での対策も重要とされる。専門家は、エージェントを最小権限のアカウントで稼働させること、認証なしでインターネットへ直接公開しないことを推奨している。特に、機密性の高いAPIや内部システムと連携させる場合には、アクセス制御とログ管理の見直しが必要とされる。