何が起きたか
CVE-2026-53849 (CVSS 8.1 HIGH) 2026-06-16に公開。OpenClawのallowFrom機能は、安定した不変のDiscordユーザーIDではなく、任意のユーザーがいつでも変更可能なDiscord表示名をポリシー適用のためのアイデンティティアンカーとして使用しています。これにより、任意のDiscordユーザーが許可リストに登録された名前に自分のアカウントをリネームするだけで、許可されていないエージェントアクセスを取得できます。
なぜ重要か
Discordチャネル経由で動作するAIエージェントは、エンタープライズおよびコミュニティオートメーションワークフローでますます使用されています。ここでのポリシーバイパスは、攻撃者がエージェントパイプラインに任意のプロンプトを注入したり、エージェントがアクセスできるデータを流出させたり、技術的なエクスプロイトを必要とせず単純なアカウントリネームを実行するだけで特権エージェントアクションをトリガーできることを意味します。
攻撃経路
OpenClawのallowFromアクセス制御機能は、不変のユーザーIDではなく可変の表示名を使用してDiscordアカウントアイデンティティを検証します。攻撃者がDiscord表示名をポリシーエントリと一致するように変更すると、OpenClawは正当なユーザーを対象としたエージェントアクセスを攻撃者に付与します。
影響を受けるシステム
OpenClaw < 2026.5.7
緩和策
OpenClawをバージョン2026.5.7以降にアップグレードしてください。Advisory: https://github.com/openclaw/openclaw/security/advisories/GHSA-cw4q-gqg5-g38h