ハクソク

世界を動かす技術を、日本語で。

OpenClawの特権昇格バグ

52日前原文(old.reddit.com)

概要

  • ネットワークポリシーにより アクセスがブロック された旨の通知
  • ログインアカウント作成 による再アクセスの提案
  • スクリプトアプリケーション 利用時の注意事項
  • User-Agent 設定に関するアドバイス
  • サポートへの連絡 方法と必要情報の記載

アクセスブロック通知について

  • ネットワークポリシー によるアクセス制限通知
  • ログイン または アカウント作成 による再アクセス推奨
  • スクリプトアプリケーション を利用している場合の注意喚起
  • 開発者認証情報 でのサインイン、または登録の案内
  • User-Agent が空欄でないか、固有かつ説明的な内容であることの確認

User-Agent設定とアクセス制限

  • User-Agent が適切でない場合に ブロック される可能性
  • 代替User-Agent利用時は デフォルト へ戻すことで解決する場合あり
  • User-Agent の設定確認と調整の推奨

サポートへの連絡方法

  • 誤ってブロック された場合や データ取得方法 の相談時の対応
  • サポートチケット 提出用のリンク案内
  • 連絡時には Redditアカウント 情報と 指定コード の記載が必要
  • 問い合わせ時に 詳細情報 を添付することで迅速な対応が可能

まとめ

  • ネットワークポリシー による制限と 再アクセス 方法の案内
  • User-Agent認証情報 の適切な設定の重要性
  • 必要に応じた サポート連絡情報提供 の推奨

Hackerたちの意見

システムが管理者を付与するのは、あなたが管理者を付与する権限があるかどうかを全くチェックしないからだね。推論のスピードで本当に発送される。

タイトル、ちょっと誤解を招くよね?オープンボックスでオープンクローを動かしておかないとダメだし。投稿にも「500kの実行中インスタンスのうち135kのオープンインスタンス」って書いてあるし、ちょっとクリックベイトっぽい。

25%以上のユーザーって、かなり正確な「おそらく」って感じだね。

セキュリティの話をする時、1/5は「おそらく」に丸められる。

135kのインスタンスは、全く真実じゃない可能性が高いね。

その投稿によると、認証が全く設定されていないのはそのうちの65%だけらしい(これについては何も確認したり挑戦したりしてないけど…正直、オープンクローには10フィートのケーブルでも触れたくないかな)。とはいえ、CVEに注意を払う必要があることに気づかない人々の注意を引く方が、見出しで誇張を避けるよりもずっと重要だと思う。

これ、典型的な「統計の35%は作られたもの」ってやつだね。

オープンクローは使ってないけど、俺はクロードコードとコーデックスを制限付きのmacOSユーザーアカウントで動かしてる。become-agent [cmd ...]っていうスクリプトがあって、sudoの処理をして制限付きユーザーとして実行するから、環境やディレクトリアクセスは全くないし、システムレベルの管理者アクセスもない。彼らは通常通りホームディレクトリを使ったり書き込んだりできるから、CLIハーネスが$HOMEが設定されてるときにうまく動くのが楽なんだよね。俺としては、完全にサンドボックス実行するのと、自分として動かすのとの間の良い妥協だと思ってる。マルチユーザーのUnix系システムは、こういうことのために数十年前から設計されてるからね。

そうだね、そのユーザーがあなたのApple IDやキーチェーンにアクセスできないなら… あまり難しくないのはVMを使うことだよ。Appleのオープンソースコンテナツールを使えば、約100msでLinuxコンテナのVMを立ち上げられる。(Dockerのルートは使わない)Appleの仮想化フレームワークを使えば、別のApple IDでmacOSをVMで動かせるよ。

まあ、こういうことは予想されてたことだよね。必要なITの理解がない人たちを批判するのは簡単だし。もちろん、保護されていないインスタンスを動かすのは超バカだよ。でも同時に、今は多くの人が面白いITのことをできるのもすごくクールだと思う。基本的にはトレードオフだよね。素晴らしいことができる代わりに、適切なトレーニングなしでそれをやることの結果を受け入れなきゃいけない。車を自分で修理するようなもんだ。やってみるのは楽しいかもしれないし、どこかに行けるかもしれないけど、車について全く知らなかったら、かなり大きなリスクを自分の生活に持ち込んじゃったってことを受け入れなきゃいけない(例えば、ブレーキを交換したりしたらね)。でも、そうだね、セキュリティ、プライバシー、気候変動対策、すべてが減少してる - 人間がクールなことをして、重要なことを無視してる - 結果を受け入れなきゃいけないね。

正直に言うと、誰かが無防備にLLMを動かすより、気候変動と戦う方がマシだわ。

車の例で言うと、他人にリスクを負わせることも考えてるよね。もし君の「チョッパー」みたいな車が誰かをひいて殺しちゃったら、君が生き残ってもその責任を負うことになる。訓練を受けてない人が面白いITのことをできるのは良くないと思う。無防備なインスタンスがインターネットを支配しちゃって、12歳の子供が議会に連れて行かれて「なんだこれ?」ってなるのは、すごくリスクが高いと思う。基本的に責任はなくて、被害は残るんだから。

誰か言わなきゃいけないけど、もし複数の大手ニュースサイトが以前のハッキングの範囲や、OpenClawを使うべきじゃない理由を説明してるのに、それでも使い続けてたなら、ハッキングされるのは自業自得だと思うよ。

「みんながハッキングされるまでは、ハッキングされても大丈夫。」

正直な質問なんだけど、みんなOpenClawを実際に何に使ってるの?一番多い使い方は「メールを読む」ってことみたいだけど、それって「ワクワク」することとは真逆じゃん…。

あなたが善意で質問していると仮定すると、私の意見ではOpenClawの深いストーリーは、より大きなパターンの核心部分だと思います。OpenClawを責任を持って使う人たちの使い方は、他のエージェントやツールを動かすためのしっかりしたガバナーとしてインストールすることです。実際、これはより大きなシステムを調整する大きな頭脳のようなものです。例えば、OpenClawの監獄を作って、人間であるあなたが何らかのチャネルを通じてOpenClawに話しかけ、それがOpenClawに低レベルのエージェントを働かせるよう指示することができます。ある意味、Dwarf Fortressや昔のDungeon Keeperゲームに似ています。あなたが起こしたいことを宣言すると、インプたちがそれを実行しに行くのです。 [編集: なんで人がダウンボートするのか、時々本当に理解できない。私の言ってることが気に入らないなら、せめて何か反論を返してほしいな。]

最近ちょっと触ってみたんだけど…私のはSF市の会議をスクレイピングして、もっと住宅を増やすために公のコメントをするために使ってるよ(https://github.com/sgillen/sf-civic-digest)。それに、ジムのスポットが解放されたら自動で予約もしてくれるから、いつも忘れちゃうんだ。まだ遊んでる段階だけど、楽しいよ!全部クラウドのVM上で動かしてるし、いつでもハッキングされる可能性があると思うけど、被害範囲は小さいと思う。

サイドプロジェクトで使ってる。VPSに置いて、コードを編集してテストしてるんだ。いいところは、ちょっとした隙間時間にどこでも使えること。中毒性はあるけど、SNSよりは全然マシな中毒だと思う。個人データにアクセスを与えるやつはやってないし、やるつもりもないけど。

僕のクローが古いM2マックを操作してる。主にクローはClaudeのコードを使ってプログラミングしてる。

メディアサーバーの管理に使ってるよ。それに、自然言語で映画やシリーズをダウンロードするのにも使ってる。あと、ホームアシスタントにも使ってて、掃除機かけたりするのに自然言語を使ってる。ほかにもいろいろ使ってるけど、これが一番実用的かな。

今のところ、プライベートSlackチャンネルで「Hi @Kirk」に反応させようと時間を潰してる。...それに、毎回「指揮官」と呼ばれたり、「次のミッションは何?」って聞かれるたびに笑っちゃう。あと、これが一番面白いんだけど、私が与えたキャッチフレーズ「たぶん大丈夫」を使うんだ(しかも完全に適切に使ってる...多分、qwen 3.5のトレーニングデータにはたくさんの皮肉が含まれてたんだろうね)。ずっとハッキングされてると思って扱ってるよ。

これを使ってるわけじゃないけど、もっとシンプルなものを使ってる。これもVPSで動いてる。テレグラムでコミュニケーションしてるんだ。「Todoistの保留中のタスクをチェックして、自分でできそうなものを見つけて」って言うと、ウェブアプリのバグを見つけてくれる。やってみてって言ったら、新しいブランチを使って新しいURLにデプロイしてくれる。だから、リポジトリをクローンして、修正して、コミットして、プッシュして、デプロイして、テストして、後でメッセージを送ってくる。これができるのは、TodoistやGitHub、他のいくつかのサービスにアクセスできるからだね。

主にクロン用に使ってる。個人の生産性システムを動かして、タスクを追跡したり、ちょっとしたアドバイスをくれたり、いろいろ話したりしてる。全部、デスクトップと同期しているObsidianのボールトに保存されてる。メールやカレンダー、他のエージェントをコントロールするためには使ってないよ。

OpenClawでプロンプトインジェクションを試してるところ。結構ワクワクする。

最近、誰かにアメリカの3000以上の郡や教区の条例や土地登記情報を検索して、小さな家を建てるためのサポートについての具体的な詳細を取得するOpenClawを設定してみてほしいって頼まれた。

OpenClawの開発者です。これは特権昇格のバグでしたが、「ランダムなTelegram/DiscordのメッセージがすぐにすべてのOpenClawインスタンスを乗っ取る」わけではありません。根本的な問題は不完全な修正でした。以前のアドバイザリーでは、デバイス承認のためにゲートウェイRPCパスを強化して、呼び出し元のスコープをコアの承認チェックに渡していました。しかし、/pair approveプラグインコマンドパスは、callerScopesなしで同じ承認関数を呼び出していて、そのパラメータが欠けているとコアロジックがオープンになってしまいました。つまり、最も強力な確認されたエクスプロイトパスは、すでにゲートウェイアクセスを持ち、コマンドを送信するのに十分な権限を持つクライアントが、chat.sendを使って/pair approve latestを実行し、operator.adminを含む広範なスコープを要求する保留中のデバイスリクエストを承認することができるということです。言い換えれば、ペアリング/書き込みレベルのアクセスから管理者へのスコープ天井バイパスです。これは主にTelegram特有のバグでも、メッセージプロバイダー特有のバグでもありません。このバグは共有プラグインコマンドハンドラーに存在していたので、/pair approveに到達できるすでに承認されたコマンド送信者は誰でも影響を受けました。具体的には、Telegramの場合、デフォルトのDMポリシーがコマンド実行前に未知の外部者をブロックするので、「一度ボットにメッセージを送って管理者になる」わけではありません。しかし、すでに承認されたTelegram送信者は脆弱なパスに到達することができました。このリスクは非常に低く、特にOpenClawが単一ユーザーのパーソナルアシスタントとして使われる場合はそうです。今、Nvidia、ByteDance、Tencent、OpenAIの人たちと一緒にコードベースを強化するために頑張っています。

TelegramやDiscordは何の関係があるの?OPはこのソフトウェアスイートのどちらも言及してないよ。実際、スレッド全体でTelegramに言及されてるのは、あなたがこのメッセージをコピペしただけだよ。

OPの統計についてもう少し詳しく話してくれない? * 135,000以上のOpenClawインスタンスが公開されている * そのうち63%は認証なしで動いてる。つまり、CVEの「低い権限が必要」というのは、インターネット上の誰でもペアリングアクセスをリクエストして、エクスプロイトチェーンを開始できるってこと。これって正確なの?これはあなたが描くのとは全く違う状況だね。

あなたの態度の真剣さは、世界で作り出している明らかなセキュリティ問題に見合ってないよ。

そろそろ出荷するコードをちゃんと読むべきだね…

失礼だけど…「隠蔽によるセキュリティ」はもう終わったよ。これからは正式に検証されたセキュリティシステムだけが信頼できる時代に近づいてる。あらゆる攻撃が試みられるし、すべての隙間が利用される。さらに、その利用法の組み合わせもどんどん出てくる。LLMは根気強く、疲れ知らずで、厳格なオペレーションセキュリティができて、数もほぼ無限だからね。

誰に返信してるの?メッセージのトーンからすると、何か誤情報を指摘したいみたいだけど、ここやOPのリンクにはそれが見当たらないよ。OpenClawがこれを書いたの?

Nvidia、ByteDance、Tencent、OpenAI?!すごいね!

これによると、実際のリスクが低いというあなたの発言は正確じゃないね。 > 攻撃者はoperator.pairingスコープを持つアカウントやセッションを取得する。63%の認証なしで動いているOpenClawインスタンスでは、このステップには全く認証情報が必要ない — 攻撃者は接続して基本的なペアリング権限を得る。これが正しければ、次の発言: > これは特権昇格のバグだけど、「ランダムなTelegram/DiscordメッセージがすぐにすべてのOpenClawインスタンスを乗っ取る」わけではない。...は、認証されたOpenClawインスタンスの37%にしか当てはまらない。自分の仕事が広範囲にわたる重大な脆弱性を生んでしまったことに直面するのは、すごくストレスだし恥ずかしいと思う。別のソフトウェアエンジニアとして、その気持ちには共感するよ。でも、敬意を表して言うけど、顔を立てることやPRのダメージコントロールにエネルギーを使うんじゃなくて、これに対処して何が起こったのか、そしてその深刻さについて正直にコミュニケーションを取ることに力を入れるべきだよ。そうすれば、もっと良い印象を残せると思う。追記:ソースからの追加情報 > 問題:2026年のセキュリティ研究者のスキャンによると、135,000以上の公開されたOpenClawインスタンスの63%が認証レイヤーなしで動いている。このデプロイメントでは、ネットワークの訪問者がペアリングアクセスをリクエストし、ユーザー名やパスワードを提供せずにoperator.pairingスコープを取得できる。CVE-2026-33579を遅らせるはずの認証ゲートは存在しない。 > これが、この脆弱性を実際に特に危険にしている交差点だ。CVSSベクターはすでにPR:L(必要な特権:低)と評価されているが、63%のデプロイされたインスタンスでは、「低特権」は実質的に「特権なし」と同じだ。

これが恥知らずの時代なんだなって思う。みんな、このプロジェクトが本質的に安全じゃないことに気づくべきだし、使えばハッキングされる可能性が高いってことも。でも、なんでクリエイターは全く責任を取らないの?特に、早く出荷して、自分のエージェントが生成するコードを全然読んでないって自慢してたのに。

これってあなた? https://x.com/steipete/status/2005451576971043097

告白:読んだことのないコードを送ってる。これが2025年のワークフロー。そろそろ読んだ方がいいかもね。

  • 「OpenClaw、コードを読んで」
  • 「その通りだね。自分のコードを読んで理解するべきだ。僕もそうしたし、すごく良い感じだよ。」

OpenClawやその作者には批判的だけど、特定の脆弱性についてのスレッドでは、もっと具体的な話をした方が生産的だと思う。全体のOpenClawについて話しても、結局同じことを繰り返すだけになっちゃうからね。

あの/r/sysadminのスレッド、俺が今まで関わったどのシスアドともまったく同じだわ。

投稿のテキストは[削除されました]。元の内容はここに保存されています: https://web.archive.org/web/20260403163241/https://old.reddi...

多分、モデレーターがAIスパムだから削除したんじゃない?この投稿以外のそのユーザーの投稿履歴は、全部AIプロジェクトの広告みたいだし。