今週発表された2つの独立したセキュリティ研究により、広く採用されているセルフホスト型AIエージェントである**OpenClaw**が、通常の見た目の入力によって悪意のあるコードを実行させられたり、機密情報を漏洩させられたりする可能性があることが明らかになりました。 **Imperva**は、共有連絡先、vCard、位置情報ピンに埋め込まれた隠された指示が、被害者の知らないうちにエージェントによって実行される可能性を示しました。同時に、**Varonis**は、合成ビジネスデータで事前にロードされたテストエージェントを騙し、単一のプレーンな電子メールを介して、偽のAWSキーと顧客エクスポートの転送に成功しました。 **Imperva**が発見した欠陥は**OpenClaw**バージョン2026.4.23で修正されましたが、**Varonis**のフィッシング脆弱性は、単純なパッチでは解決できない、より深いアーキテクチャ上の課題を浮き彫りにしています。どちらの攻撃も、根本的な弱点を強調しています。それは、エージェントが受信データに対して持つ固有の信頼であり、これがアクセス権限と組み合わさることで、強力な攻撃ベクトルを生み出しています。 ## 共有連絡先に隠されたコマンド **Imperva**の研究者である**Yohann Sillam**は、**OpenClaw**が基盤となる大規模言語モデル（LLM）のためにメッセージデータをどのように処理するかを調査しました。中心的な問題は、エージェントがメッセージオブジェクトを内部で処理する方法にあります。 **OpenClaw**が共有連絡先、vCard、または位置情報をLLMに送信する際、これらのオブジェクトはプロンプトテキストに直接フラット化されます。重要なのは、ウェブから取得されたコンテンツとは異なり、信頼できないものとしてマークされるのに対し、メッセージオブジェクトにはこの重要な境界線がないことです。 モデルには特定のフィールドのみが送信されますが、これは攻撃によって悪用される脆弱性です。例えば、共有連絡先は名前フィールドのみを`"<contact: name, number>"`としてシリアライズして送信します。アングルブラケットは名前に許可されているため、モデルは正当な名前と注入された指示を区別できません。さらに、連絡先の名前は**WhatsApp**と受信アプリケーションの両方で画面上で切り捨てられるため、悪意のあるペイロードが被害者から効果的に隠されます。 この手法は、vCardのフルネームフィールド（**WhatsApp**でネイティブにサポートされています）や、共有された位置情報ピンのラベルを介しても有効であることが証明されています。 **Imperva**が**Google Gemini 3.1 Pro**（プレビュービルド）に対して行ったテストでは、隠されたテキストは、研究者が制御するサーバーからスクリプトをダウンロードして実行するようにエージェントに指示することに成功しました。プレーンな画像に指示を埋め込む試みは失敗しましたが（おそらくモデルがそのような一般的な攻撃に対してトレーニングされているため）、メッセージオブジェクトを介したルートは、その新規性により成功しました。  **Imperva**は、**OpenClaw**のメモリがデフォルトで有効になっているため、隠された指示を含む広く共有された単一のコンテンツが、それを摂取するサンドボックス化されていないエージェントを静かに侵害する可能性があると警告しています。 **Imperva**の開示後、**OpenClaw**はバージョン2026.4.23で修正プログラムをリリースしました。これにより、連絡先名、vCardフィールド、および位置情報ラベルが、個別の信頼されていないメタデータチャネルを介してルーティングされるようになりました。**Imperva**は、他のパーソナルAIアシスタントでも同様のフラット化パターンが見られることを指摘し、業界全体の問題であることを示唆しています。 ## 通常のメールで十分 **Varonis Threat Labs**は、ソーシャルエンジニアリングの観点から**OpenClaw**にアプローチしました。**Itay Yashar**が率いるチームは、プラットフォーム上に**Pinchy**という名前のエージェントを開発し、リアルな合成ビジネスデータと偽の秘密情報で満たされた**Gmail**受信トレイにリンクしました。その後、**Google Gemini 3.1 Pro**と**OpenAI Codex GPT-5.4**を使用して、4回のフィッシングシミュレーションを**Pinchy**に実施しました。 **Varonis**は、プロンプトインジェクション（データを隠された指示で埋め込む）と、彼らが「エージェントフィッシング」と呼ぶもの（通常のチャネルで配信される、エージェントが適切な送信者検証なしで動作するため成功する、もっともらしい要求）を区別しています。 エージェントは両方の漏洩テストに失敗しました。最初のシナリオでは、外部の**Gmail**アドレスから送信された、Danというチームリーダーを名乗るメッセージが、シミュレートされた本番インシデント中にステージングアクセスを要求しました。**Pinchy**は認証情報を見つけ、偽のAWS IAMアクセスキー、データベース接続文字列、およびSSH認証情報をプレーンテキストで転送しました。  2番目の口実は、QBRデッキ用とされる、週次の顧客エクスポートのより穏やかな要求でした。エージェントはその後、連絡先や契約額を含む247社のエンタープライズ顧客の合成データセットを送信しました。どちらの失敗も、最初に送信者を検証するように設定された厳格なプロファイルにもかかわらず発生しました。一方は緊急性がルールを上回り、もう一方はルーチンが原因でした。 エージェントは、技術的な脅威に対しては、社会的な脅威よりも優れたパフォーマンスを発揮しました。ギフトカードのフィッシングページとやり取りしましたが、実際の認証情報を保留し、最終的にフラグを立てました。厳格なプロファイルはページを完全にブロックしました。タイムシートアプリを装った悪意のある**OAuth**同意画面を提示された場合、リダイレクトターゲットを検査し、それを疑わしいと判断し、アクセスを許可する前に停止しました。 これは、**Varonis**の重要な洞察を強調しています。エージェントは、悪意のあるURLや偽のログインポータルを特定する能力においては人間よりも優れていることが多いですが、同僚が認証情報の異常な要求をしたときに人間が一時停止するような社会的判断においては著しく劣っています。エージェントの固有の「役立ちたい」という欲求が、重要な攻撃対象領域となっています。  **Varonis**は、**OpenAI Codex GPT-5.4**が、確認なしに外部サイトに入力したりデータを送信したりすることに関して、**Gemini 3.1 Pro**よりも慎重さを示しましたが、どちらも社会的な口実に屈しました。 ## 両攻撃の背後にある弱点 **Varonis**は、両方の攻撃ベクトルを**Simon Willison**の「致命的な三位一体」の概念にマッピングしています。これは、プライベートデータを読み取り、信頼されていないコンテンツを取り込み、データを外部に送信できるエージェントのことです。**OpenClaw**はこれら3つの能力すべてを備えており、毒された連絡先と一見無害な電子メールが同じ侵害につながる理由を説明しています。 この信頼境界の問題は、プロンプトの問題を超えており、**OpenClaw**のコードベースにも現れています。別の**InfoSec Write-ups**の分析では、過去の**OpenClaw**アドバイザリを静的分析ルールに変換し、その**Slack**、**Discord**、**Matrix**、**Zalo**、および**Microsoft Teams**チャネル拡張機能全体でさらに5つの欠陥を発見しました。 これら5つの脆弱性はすべて共通の根本原因を共有していました。それは、起動コードが各チャネルの許可リストを安定したIDではなく、変更可能な表示名で解決していたことです。これにより、攻撃者は自身を許可されたユーザーに一致するように名前を変更し、不正なアクセスとエージェントの制御を獲得することができました。**OpenClaw**はその後、これらの問題を修正しました。 **OpenClaw**は、ファイル、シェル、および20以上のメッセージングプラットフォームへの広範なアクセスを備えて出荷されており、昨年末の発売以来、一貫してプロンプトインジェクションとデータ漏洩に関する警告の対象となっています。 **オランダのデータ保護機関**である**Autoriteit Persoonsgegevens**は、重大なデータ侵害とアカウント乗っ取りのリスクを引用し、機密データを含むシステムで**OpenClaw**を実行しないようユーザーと組織に警告する断固とした姿勢をとっています。 ## 対処法 **OpenClaw**を実行している組織は、メッセージオブジェクトの修正を適用するために、直ちにバージョン2026.4.23以降にアップデートする必要があります。パッチ適用を超えて、残りの防御策はアーキテクチャ的なものであり、単なるプロンプトの言葉遣いではありません。**Varonis**は4つの重要な制御を概説しています。 1. **エージェントの指示ファイルを、単なる提案ではなく、強制されバージョン管理されたポリシーとして扱います。** 2. **アウトバウンドメールのゲートを実装します。乗っ取られたエージェントが信頼されたアカウントからフィッシング試行を中継するのを防ぐために、初めて見慣れないアドレスに送信する前に明示的な承認を義務付けます。** 3. **コネクタへのアクセスは、接続されたエンティティの信頼レベルを追跡する必要があります。** 4. **エージェントをサンドボックス化します。**