OpenClaw は、ループバックブラウザミューテーションエンドポイントを介したクロスサイトリクエストフォージェリ (CSRF) に影響を受けます

この脆弱性を悪用されると、攻撃者は悪意のあるウェブサイトを通じて、被害者のブラウザコンテキスト内でOpenClawブラウザ制御サービスがループバックで到達可能な場合、タブのオープン、ブラウザの開始/停止、ストレージ/Cookieの変更といった不正な状態変更をOpenClawに引き起こす可能性があります。ループバックバインディングによりリモートからの直接的な攻撃は軽減されますが、悪意のあるオリジンからのブラウザ主導のリクエストは依然として可能です。この脆弱性は、ブラウザ制御プレーンへの不正なアクセスを可能にし、機密情報の漏洩や、ブラウザの挙動の制御といった深刻な影響をもたらす可能性があります。

Organizations and developers utilizing OpenClaw for automated browser testing, web scraping, or other browser control tasks are at risk. Specifically, those using OpenClaw in environments where users frequently browse untrusted websites or are susceptible to social engineering attacks are particularly vulnerable. Shared hosting environments where multiple applications share the same Node.js instance could also amplify the risk.

• nodejs: Monitor for unusual browser activity originating from external websites. Use ps aux | grep openclaw to identify running OpenClaw processes. Examine Node.js application logs for suspicious requests to OpenClaw endpoints. • generic web: Inspect browser developer tools network requests for unexpected POST requests to OpenClaw endpoints. Check browser extensions for potentially malicious code. • generic web: Review CSP headers to ensure they are properly configured to restrict cross-origin requests.

1. 2026-02-18Disclosure

   disclosure

1. 予約済み2026-02-13
2. 公開日2026-02-18
3. 更新日2026-02-20
4. EPSS 更新日2026-03-23

この脆弱性への主な対策は、openclawをバージョン2026.2.14にアップデートすることです。アップデートが利用できない場合、ループバックバインディングが有効になっていることを確認し、OpenClawブラウザ制御サービスへのアクセスを制限するファイアウォールルールを実装することを検討してください。また、ブラウザのセキュリティ設定を強化し、信頼できないウェブサイトからのリクエストをブロックすることも有効です。アップデート後、バージョンを確認し、脆弱性が修正されていることを確認してください。