技術的な説明
NanoClaw(エージェント型コンテナフレームワーク)には、アウトバウンド添付ファイル処理およびアウトボックスクリーンアップにおけるホスト/コンテナファイルシステム境界脆弱性が含まれています。侵害されたまたはプロンプトインジェクションされたコンテナは、特別に細工された messages_out.id および content.files 値を指定するか、シンボリックリンクを作成することで、意図したアウトボックスディレクトリ外のファイルを読み取ることができ、任意のホストファイルシステムの読み取りと書き込みアクセスを実現します。脆弱性は 2026年5月6日に開示され、CVSS スコアは 8.8 です。
攻撃経路
コンテナアウトボックス内の特別に細工されたメッセージメタデータまたはシンボリックリンク経由のパストラバーサル。コンテナ入力を制御する攻撃者(プロンプトインジェクションまたは直接的な侵害など経由)は、コンテナ境界外のパスを参照でき、添付ファイル処理中の不十分なパスサニタイゼーションを悪用します。攻撃者がコンテナ実行に影響を与えられる場合、認証は不要です。
影響を受けるシステム
2026年5月6日のパッチコミット(7814e45)より前の NanoClaw バージョン。信頼できないコードまたはプロンプトがコンテナ化されたエージェント動作に影響を与える可能性があるデプロイメントはリスクが最も高いです。ファイルシステム相互作用を伴うエージェントワークフロー用に NanoClaw を使用する環境に影響します。
緩和策
qwibitai/nanoclaw GitHub リポジトリからコミット 7814e45 以降に NanoClaw をアップグレードしてください。コンテナベースのエージェントをデプロイする組織は、ファイルシステム分離境界を監査し、エージェントフレームワークがユーザー提供またはエージェント生成ファイル参照を処理する際に厳密なパスサニタイゼーションを強制していることを確認する必要があります。