ハクソク

世界を動かす技術を、日本語で。

OpenClawの特権昇格バグ

2026年4月4日原文(old.reddit.com)

概要

  • ネットワークポリシーにより アクセスがブロック された旨の通知
  • ログインアカウント作成 による再アクセスの提案
  • スクリプトアプリケーション 利用時の注意事項
  • User-Agent 設定に関するアドバイス
  • サポートへの連絡 方法と必要情報の記載

アクセスブロック通知について

  • ネットワークポリシー によるアクセス制限通知
  • ログイン または アカウント作成 による再アクセス推奨
  • スクリプトアプリケーション を利用している場合の注意喚起
  • 開発者認証情報 でのサインイン、または登録の案内
  • User-Agent が空欄でないか、固有かつ説明的な内容であることの確認

User-Agent設定とアクセス制限

  • User-Agent が適切でない場合に ブロック される可能性
  • 代替User-Agent利用時は デフォルト へ戻すことで解決する場合あり
  • User-Agent の設定確認と調整の推奨

サポートへの連絡方法

  • 誤ってブロック された場合や データ取得方法 の相談時の対応
  • サポートチケット 提出用のリンク案内
  • 連絡時には Redditアカウント 情報と 指定コード の記載が必要
  • 問い合わせ時に 詳細情報 を添付することで迅速な対応が可能

まとめ

  • ネットワークポリシー による制限と 再アクセス 方法の案内
  • User-Agent認証情報 の適切な設定の重要性
  • 必要に応じた サポート連絡情報提供 の推奨

Hackerたちの意見

システムが管理者を付与するのは、あなたが管理者を付与する権限があるかどうかを全くチェックしないからだね。推論のスピードで本当に発送される。

タイトル、ちょっと誤解を招くよね?オープンボックスでオープンクローを動かしておかないとダメだし。投稿にも「500kの実行中インスタンスのうち135kのオープンインスタンス」って書いてあるし、ちょっとクリックベイトっぽい。

25%以上のユーザーって、かなり正確な「おそらく」って感じだね。

セキュリティの話をする時、1/5は「おそらく」に丸められる。

135kのインスタンスは、全く真実じゃない可能性が高いね。

その投稿によると、認証が全く設定されていないのはそのうちの65%だけらしい(これについては何も確認したり挑戦したりしてないけど…正直、オープンクローには10フィートのケーブルでも触れたくないかな)。とはいえ、CVEに注意を払う必要があることに気づかない人々の注意を引く方が、見出しで誇張を避けるよりもずっと重要だと思う。

これ、典型的な「統計の35%は作られたもの」ってやつだね。

オープンクローは使ってないけど、俺はクロードコードとコーデックスを制限付きのmacOSユーザーアカウントで動かしてる。become-agent [cmd ...]っていうスクリプトがあって、sudoの処理をして制限付きユーザーとして実行するから、環境やディレクトリアクセスは全くないし、システムレベルの管理者アクセスもない。彼らは通常通りホームディレクトリを使ったり書き込んだりできるから、CLIハーネスが$HOMEが設定されてるときにうまく動くのが楽なんだよね。俺としては、完全にサンドボックス実行するのと、自分として動かすのとの間の良い妥協だと思ってる。マルチユーザーのUnix系システムは、こういうことのために数十年前から設計されてるからね。

そうだね、そのユーザーがあなたのApple IDやキーチェーンにアクセスできないなら… あまり難しくないのはVMを使うことだよ。Appleのオープンソースコンテナツールを使えば、約100msでLinuxコンテナのVMを立ち上げられる。(Dockerのルートは使わない)Appleの仮想化フレームワークを使えば、別のApple IDでmacOSをVMで動かせるよ。

まあ、こういうことは予想されてたことだよね。必要なITの理解がない人たちを批判するのは簡単だし。もちろん、保護されていないインスタンスを動かすのは超バカだよ。でも同時に、今は多くの人が面白いITのことをできるのもすごくクールだと思う。基本的にはトレードオフだよね。素晴らしいことができる代わりに、適切なトレーニングなしでそれをやることの結果を受け入れなきゃいけない。車を自分で修理するようなもんだ。やってみるのは楽しいかもしれないし、どこかに行けるかもしれないけど、車について全く知らなかったら、かなり大きなリスクを自分の生活に持ち込んじゃったってことを受け入れなきゃいけない(例えば、ブレーキを交換したりしたらね)。でも、そうだね、セキュリティ、プライバシー、気候変動対策、すべてが減少してる - 人間がクールなことをして、重要なことを無視してる - 結果を受け入れなきゃいけないね。

正直に言うと、誰かが無防備にLLMを動かすより、気候変動と戦う方がマシだわ。

車の例で言うと、他人にリスクを負わせることも考えてるよね。もし君の「チョッパー」みたいな車が誰かをひいて殺しちゃったら、君が生き残ってもその責任を負うことになる。訓練を受けてない人が面白いITのことをできるのは良くないと思う。無防備なインスタンスがインターネットを支配しちゃって、12歳の子供が議会に連れて行かれて「なんだこれ?」ってなるのは、すごくリスクが高いと思う。基本的に責任はなくて、被害は残るんだから。

Hacker Newsで議論の続きを見る