OpenClawの脆弱性 (CVE-2026-32978): 承認の整合性

CVE-2026-32978 は、openclaw において、承認済みの環境内で攻撃者が悪意のあるコードを実行することを可能にします。具体的には、node-host の system.run 承認システムは、tsx や jiti などのスクリプトランナーを使用する場合、可変ファイルオペランドを正しくバインドしません。これにより、攻撃者は一見無害なスクリプトランナーコマンドの承認を取得し、ディスク上の参照スクリプトを書き換え、承認済みの実行コンテキスト内で変更されたコードを実行できるようになります。system.run がスクリプトの整合性を確保するために使用されている環境では、このセキュリティメカニズムが侵害されているため、リスクは特に高くなります。

Organizations heavily reliant on openclaw for Node.js host management, particularly those using system.run for automated scripting and deployments, are at significant risk. Environments with lax file access controls or shared hosting configurations where multiple users can potentially modify script files are especially vulnerable.

• nodejs / supply-chain:

Get-Process -Name openclaw | Select-Object -ExpandProperty Path

• nodejs / supply-chain:

Get-ScheduledTask | Where-Object {$_.TaskName -like '*openclaw*'} | Select-Object -ExpandProperty Actions

• nodejs / supply-chain:

Get-WinEvent -LogName Application -Filter "EventID=1001 and Source='openclaw'" -Newest 10

1. 2026-03-13Disclosure

   disclosure

1. 予約済み2026-03-17
2. 公開日2026-03-13
3. 更新日2026-04-06
4. EPSS 更新日2026-04-06

CVE-2026-32978 の解決策は、openclaw をバージョン 2026.3.11 以降にアップグレードすることです。このバージョンは、ファイルオペランドのバインドエラーを修正し、system.run コマンドで使用されるスクリプトが期待されるものであり、攻撃者によって変更されないことを保証します。特に本番環境では、このアップデートをできるだけ早く適用することをお勧めします。さらに、system.run 承認ポリシーを確認して、ベストセキュリティプラクティスが適用され、不正なコード実行のリスクが最小限に抑えられていることを確認してください。システムログを監視して、潜在的な攻撃を検出および対応するのにも役立ちます。