OpenClaw gives users yet another reason to be freaked out about security

> Source: Ars_Technica

デバイスペアリング機能において、管理者権限を付与する際の権限検証プロセスが欠如していた。具体的には、承認者の権限を確認せず、リクエストの形式が正しければ承認を行ってしまう設計上の不備が存在した。

開発者は当該脆弱性を修正するセキュリティパッチをリリースした。ユーザーに対しては、過去のアクティビティログにおける「/pair」承認イベントの精査と、ツールの利用継続に関する慎重な検討が推奨されている。

脆弱性は修正されたものの、パッチ適用までのタイムラグや認証未設定のインスタンスの存在により、既に侵害されている可能性がある。管理者権限の奪取は、インスタンス全体の完全な乗っ取りに直結する。

> AIエージェントに広範な権限を付与する設計は、攻撃表面を劇的に拡大させる。権限昇格の不備は致命的であり、認可ロジックにおける最小権限の原則の徹底が不可欠である。