OpenClaw < 2026.3.12 - ペアリング設定コードにおける長期的な認証情報漏洩

OpenClawのバージョン2026.3.12以前には、/pairエンドポイントやOpenClaw qrコマンドによって生成されるペアリング設定コードに、長期間有効な共有ゲートウェイ認証情報が直接埋め込まれています。この脆弱性を悪用した場合、攻撃者はチャット履歴、ログ、スクリーンショットなどから漏洩した設定コードを入手することで、意図された一度限りのペアリングフローを迂回し、共有ゲートウェイ認証情報を不正に取得・再利用することが可能です。例えば、攻撃者が過去のチャットログからペアリングコードを盗み出し、別のデバイスでOpenClawに接続するためにその認証情報を使用することができます。これにより、攻撃者はOpenClawの機能に不正にアクセスし、機密情報を盗み出したり、設定を変更したりする可能性があります。影響範囲は、共有ゲートウェイ認証情報が有効な範囲に限定されますが、認証情報の漏洩は広範囲なシステムへのアクセスを許してしまうリスクがあります。特に、OpenClawが重要なインフラや機密データを扱う環境で使用されている場合、この脆弱性の影響は甚大となる可能性があります。攻撃者は、認証情報を利用して、OpenClawの管理インターフェースにアクセスし、システム全体を制御する可能性も否定できません。

OpenClaw deployments, particularly those that utilize chat platforms or other communication channels where pairing codes might be inadvertently shared, are at risk. Organizations that have not implemented robust log management practices and access controls are also more vulnerable. Any environment where screenshots or logs containing pairing codes are stored or transmitted are potentially exposed.

1. 2026-03-29Disclosure

   disclosure

1. 予約済み2026-03-23
2. 公開日2026-03-29
3. 更新日2026-03-30
4. EPSS 更新日2026-04-06

この脆弱性に対処するためには、OpenClawをバージョン2026.3.12以降にアップデートすることを強く推奨します。アップデートは、OpenClawの公式ウェブサイトまたは信頼できるソフトウェアリポジトリからダウンロードできます。バージョン2026.3.12へのアップデートは、共有ゲートウェイ認証情報の生成方法を変更し、この脆弱性を解消します。もし、すぐにアップデートできない場合は、ペアリングコードを生成する際に、より強力な認証メカニズムを使用するか、ペアリングコードの有効期限を短くするなどの一時的な回避策を検討してください。ペアリングコードの有効期限を短くすることで、認証情報が漏洩した場合のリスクを軽減できます。アップデートの適用後、ペアリングプロセスを再度実行し、新しい設定コードを使用するようにしてください。アップデートの適用状況は、OpenClawのバージョン情報を確認することで確認できます。アップデート後、システムの再起動は不要ですが、念のため再起動することをお勧めします。