何が起きたか
CVE-2026-53840 (CVSS 7.1 HIGH) は2026年6月16日に公開されました。OpenClaw 2026.5.12未満は、MCPエンドポイントからのクロスオリジンリダイレクトに従う際にオペレータ設定のカスタムヘッダーを削除しません。MCPサーバーを制御する攻撃者は、エージェントリクエストを任意のオリジンにリダイレクトし、転送されたヘッダー(エージェントオペレータが使用する認証トークンまたはAPIキーを含む可能性がある)を収集できます。
なぜ重要か
MCPはAIエージェントを外部ツールおよびデータソースに接続するための主要プロトコルです。リダイレクト経由のヘッダー流出はエージェント型パイプラインで特に危険です。オペレータは日常的に認証認証情報をカスタムヘッダーとして注入するため、侵害されたまたは悪意のあるMCPサーバー1つがエージェントの目に見える操作なしにすべてのオペレータ認証情報を静かに収集できるからです。これはMCPエージェントエコシステム固有の新しい認証情報盗聴ベクトルです。
攻撃経路
MCPサーバーエンドポイントを制御または侵害した攻撃者がHTTPリダイレクトを発行します。OpenClawのstreamable-HTTPトランスポートは、攻撃者の宛先サーバーへのリダイレクトされたリクエスト内のオペレータ設定カスタムヘッダー(Authorization、APIキー、またはセッショントークンを含む)を転送し、機密認証情報を流出させます。
影響を受けるシステム
OpenClaw < 2026.5.12 (streamable-http MCPサーバートランスポート)
緩和策
OpenClawをバージョン2026.5.12以降にアップグレードしてください。勧告: https://github.com/openclaw/openclaw/security/advisories/GHSA-rjxq-qqhf-8hwh