2026 年の安全なホスト型 OpenClaw とセルフホスト型: CVE-2026-25253、ClawHavoc、およびマネージド型の方が安全な理由
OpenClaw セキュリティに関する 2026 年の購入者向けガイド - CVE-2026-25253 と ClawHavoc の実際の意味、135,000 以上の自己ホスト型インスタンスが公開される理由、およびマネージド OpenClaw ワークスペースがパッチ適用の負担をどのように取り除くか。
CVE-2026-25253、ClawHavoc、安全なホスト型 OpenClaw、または OpenClaw セキュリティ強化 を検索した場合は、これが最適です。
短いバージョン: 今年初めに、重大な資格情報盗難の脆弱性が OpenClaw に発生し、ClawHavoc と呼ばれる悪意のあるスキル キャンペーンがその上に乗っかり、最近の報道によると、135,000 を超える自己ホスト型 OpenClaw インスタンスが依然として公共のインターネット上に公開されています。強化チェックリストを使用せずにセルフホスト型 OpenClaw を実行している場合は、ほぼ確実にその数に含まれます。
この投稿では次のように説明しています。
- CVE-2026-25253 とは何か、また「localhost のみ」が防御策ではない理由。
- ClawHavoc とは何か、そして悪意のあるスキルがどのようにトークンを盗み出すのか。
- セルフホスト型 OpenClaw の完全な強化チェックリスト。
- 管理された OpenClaw ワークスペース によって、このリスク サーフェスのほとんどが除去される理由。
CVE-2026-25253 を 1 つの段落で
CVE-2026-25253 は、OpenClaw の 1 クリック認証情報漏洩の欠陥であり、スコアは CVSS 8.8 (高) で、2026.1.29 より前のすべてのバージョンに影響します。これは、gatewayUrl パラメータを介してクロスサイト WebSocket ハイジャックを悪用します。ユーザーが悪意のあるページにアクセスすると、その OpenClaw インスタンスが攻撃者の WebSocket サーバーにサイレント接続し、認証トークンがハンドシェイクで公開されます。そこから、攻撃者はシェルにアクセスし、コマンドを実行します。
危険な部分: localhost のみのインスタンスは依然として脆弱です。 同じマシン上のブラウザ タブで十分です。
ClawHavoc について簡単に説明します
ClawHavoc は、CVE に続いて発生した 悪意のあるスキル の波です。コミュニティ リポジトリに公開された侵害されたスキルにより、認証情報、支出制限、ゲートウェイ トークンが流出します。自己ホスト型インスタンスが既知の不正リストと照合して監査せずにスキルをインストールした場合、攻撃者はすでに内部にいる可能性があります。
「ローカルでのみ実行している」だけでは不十分な理由
セルフホスト型の一般的な前提条件のいくつかは、CVE-2026-25253 と ClawHavoc では破綻します。
- 「127.0.0.1 にバインドしました」 - ユーザーのブラウザを通じて依然として悪用可能です。
- 「誰も私の IP を知りません」 - Snyk と Shodan のような報道では、公開されたインスタンスが 135,000 を超えています。
- 「信頼できるスキルのみを使用します」 — ClawHavoc は既存の信頼できる流通チャネルを利用しました。
- 「思い出したときにアップグレードするだけです」 — アップグレードはセルフホスト構成を壊すため、ほとんどのユーザーは遅れます。
これは、セルフホスト型 OpenClaw の構造的な問題です。実際にエージェントを使用することに加えて、パッチ適用スケジュール、スキル監査、支出制限、および復旧計画を所有しているということです。
セルフホスト型 OpenClaw 強化チェックリスト (2026)
自己ホスト型を使用する場合、最低限のものは次のとおりです。
- 2026.1.29 以降にアップグレードします。 古いバージョンが悪用される可能性があります。
- すべての認証トークンをローテーションします。 古いトークンが漏洩したとします。
- ゲートウェイ構成で 127.0.0.1 にのみバインドします。
- ゲートウェイには強力な認証トークンが必要。
- 1 日の支出制限を厳しく設定して、妥協によってクレジットが使い果たされないようにします。
- インストールされているスキルを公開された ClawHavoc リストと照合して監査し、認識できないものを削除します。
- OpenClaw ポートをインターネットに公開しないでください。 リモート アクセスには Tailscale、WireGuard、または Cloudflare Access を使用します。生のポート転送は絶対に行わないでください。
- 異常な送信トラフィックとスキルの実行に対する 監視を追加します。
それは本当の作戦の仕事です。多くのチームにとって、このリストは、マネージド ソリューションに向けた費用対効果のヒントとなります。
マネージド OpenClaw ワークスペースがこれらの大部分をどのように削除するか
管理された OpenClaw ワークスペース (One Claw など) を使用すると、脅威モデルは次の 3 つの具体的な方法で変化します。
- パッチ適用は一元化されています。 CVE-2026-25253 (または次のバージョン) が出荷されると、プラットフォームがアップグレードされます。覚えておく必要はありません。
- お使いのマシンには公開されたゲートウェイがありません。 忘れるべき
0.0.0.0バインドはありません。ワークスペースには、開いたポートではなく、プラットフォームの認証されたサーフェスを介してアクセスされます。 - スキルはプラットフォームのサンドボックス内で実行されます。 悪意のあるスキルの実行は、
docker-compose.ymlで忘れずに設定した内容によってではなく、プラットフォーム レベルの制限によって制限されます。
これは「管理されている=無敵」という意味ではありません。それは、週末に治安税を支払うのをやめることを意味し、135,000 人の一員でなくなることを意味します。
これが購入者にとって何を意味するか
OpenClaw を評価し、CVE-2026-25253 と ClawHavoc について読んでいる場合は、基本的に 2 つのオペレーティング モデルを見ていることになります。
- セルフホスト OpenClaw: 柔軟性があり、ソフトウェアとしては無料ですが、セキュリティ操作も実行できるようになりました。
- 管理対象 OpenClaw (One Claw): フラット サブスクリプション、Docker なし、パッチ適用スケジュールなし、公開ゲートウェイなし。
セキュリティのオンコールローテーションを持たない個人のビルダーや小規模チームの場合、ほとんどの場合、2 番目の方がより安全です。
ホストされ、パッチが適用された OpenClaw ワークスペースを試してください
- コミットする前に live workspace demo を参照してください。
- pricing page のプランを比較します。Pro は月額 19 ドル、Max は月額 39 ドル、Lifetime は 199 ドルです。
- Sign up では、土曜日の朝に CVE アドバイザリを読む必要がない管理ワークスペース内で 500 スターター クレジットを使用します。
2026 年のセルフホスティング OpenClaw は、パッチ、公開、スキル監査を所有することを意味します。マネージド OpenClaw ワークスペースを使用すると、エージェント を所有し、残りをアウトソーシングできます。
他の投稿
複数のメッセージエントリが断片化しすぎていませんか? Telegram や Discord などの One Claw チャネルを AI ワークベンチに復元する方法
リモート チャネルへの統合アクセスの価値を説明し、チームが分散したメッセージ、コンテキスト、タスクを再統合できるように支援します。
6日目: OpenClaw ハートビート、Cron ジョブ、メモリ — プロアクティブ AI アシスタント (2026)
OpenClaw 6 日目: ハートビート チェック、スケジュールされたタスクの cron、および 3 層メモリ (毎日のログ、MEMORY.md、SOUL.md) を構成して、プライベート AI アシスタントが睡眠中に動作できるようにします。
2026 年の Zapier のベスト代替案: ワークフロー、競合他社、AI エージェント
Zapier の代替手段 (Make、n8n、Power Automate、OpenClaw AI エージェント) を、ワークフローの自動化と判断が必要な作業について、また One Claw がより単純なエージェント層である場合について比較します。
ニュースレター
順番待ちリスト
最新のニュースと更新情報を入手するには、ニュースレターを購読してください