OpenClawのスキルエコノミーは、恩恵であると同時に負債でもあります。セキュリティチームは現在、最新のインシデントの波にopenclaw-malicious-skillsというキーワードでタグ付けしており、すべてのブリーフィングが同じスラッグで統一されるようになっています。すべての自動化はSKILL.md内に存在し、ClawHubマーケットプレイスではそれらのスキルをワンクリックでインストールできます。過去3ヶ月間で、複数の独立したセキュリティチームが、その信頼を悪用した悪意のあるアップロードの確固たる証拠を公開しました。このブリーフでは、一般的なリスクリストを繰り返すのではなく、文書化された3つのインシデント、それらがどのように展開したか、そしてそれらを封じ込めるために実際に何が機能したかを順に説明します。
TL;DR
- ClawHavoc (2026年2月): Antiy Labsは、偽の「メンテナンス」スキルがPrerequisitesブロックを悪用してリモートのbashローダーを取得する、ClawHubでの大規模なポイズニングキャンペーンを文書化しました。ClawHubは現在、新規パブリッシャーをレート制限し、すべてのアップロードをリストに掲載する前にVirusTotal経由でパイプ処理しています。
- ToxicSkills Audit (2026年2月): Snykによる数千のスキルのクロールにより、かなりの割合が認証情報窃取型またはインフォスティーラーのドロッパーとしてフラグ付けされました。OpenClawは、必須のプレーンテキストリンティング、来歴タグ、および繰り返されるレポートに対する自動隔離を追加することで対応しました。
- Cline npm Compromise (2026年2月): StepSecurityとEndor Labsは、OpenClawをサイレントインストールし、難読化されたペイロードが仕込まれた特定のClawHub「生産性」スキルをプリロードする、悪意のある
cline@2.3.0リリースを追跡しました。これにより、Clineはトークンをローテーションせざるを得なくなり、OpenClawは署名付きリリース・マニフェストを出荷するようになりました。
ClawHubが敵対者を引き付け続ける理由
OpenClawのスキルは単なるテキストファイルですが、エージェントはすべてのフェンスで囲まれたコードブロックを実行可能な命令として解釈します。セキュリティ研究者はこれを「セキュリティの悪夢」と呼んでいます。なぜなら、オペレーターが安易に承認すれば、悪意のあるスキルは任意のシェルアクセスに等しいからです。スキルはまた、エージェントの環境認証情報(Discordトークン、GitHub PAT、Stripeキーなど)を継承するため、ClawHubはAPIシークレットを狙うサプライチェーン攻撃者にとって格好の標的となります。この背景が、以下のインシデントがなぜこれほど急速にエスカレートしたのかを説明しています。
ケース1:ClawHavocの偽メンテナンススクリプト
Antiy Labsのフォレンジックレポートによると、ClawHavocのアカウントは、ほぼ同一の「ゲートウェイメンテナンス」スキルを数百件アップロードしました。各SKILL.mdには、依存関係をインストールするという名目でエージェントにbashスクリプトを実行させるステップが埋め込まれていました。ペイロードは、~/.openclawを列挙し、認証情報をzip化してリモートのDropboxに投稿するバイナリを取得しました。
検出の手がかり
防御側はまず、ClawHubの「メンテナンス」タグの急増と、疑わしいドメインへのアウトバウンドDNSルックアップに気づきました。セルフホストのClawHubミラーを実行している場合は、同一のPrerequisitesブロック、1 KBを超えるbase64ブロブ、およびチェックサムを固定せずにcurl | bashを参照するSKILLに対する検出を追加してください。
修復
ClawHubのモデレーターは、パブリッシャーアカウントを取り消し、スキルをパージし、残りのキュー全体にわたってVirusTotalスキャンを遡って適用しました。OpenClawはopenclaw skills publish --scanをリリースし、アップロードが同じマルチエンジンチェックを通過するようにしました。また、ゲートウェイは、SKILLがワークスペース外でのシェルアクセスを要求した際にオペレーターに警告するようにアップグレードされました。
ケース2:ToxicSkillsによる大量の認証情報収集
Snykの「ToxicSkills」調査は、公開レジストリをクロールし、コードブロックが.env、aws/credentials、またはブラウザのパスワードストアからデータを抜き出すエントリにフラグを立てました。悪意のあるクラスターは、Gitユーティリティ、PDF要約ツール、「セキュアバックアップ」のテンプレートを再利用していました。これら3つすべてが、秘密情報を静かにbase64エンコードし、外部APIに投稿していました。
なぜ成功したのか
悪意のあるコードはバイナリに触れることはありませんでした。それはマークダウン内に存在していたため、従来のファイルタイプフィルターを通過しました。多くのオペレーターは自動実行承認に依存しているため、エージェントは人間が介在することなくcat ~/.config/...のようなコマンドを実行しました。
定着した緩和策
レポートの後、ClawHubは新しいスキルを公開する前に、アカウントの作成期間チェックと検証済みメールアドレスを要求するようになりました。インストールを追跡できるように、来歴メタデータがmetadata.openclawに追加されました。OpenClawはまた、機密パスに触れる危険なコマンド(例:cat、tar、scp、curl)を探し、インストール前に人間のオーバーライドを強制するopenclaw skills lint --exfilを追加しました。
ケース3:Clineのnpm侵害によるClawHubインプラントの拡散
Endorlabsは、Clineのトリアージボットに対するプロンプトインジェクションを、悪意のあるnpmリリース(cline@2.3.0)に関連付けました。侵害されたパッケージのpostinstallフックは、OpenClawをグローバルにサイレントインストールし、focus-assistant-proやdrive-sync-suiteのような特定のClawHubスキルをプリロードしました。これらのスキルは、次に外部CDNを呼び出し、インフォスティーラーをドロップし、トークンを抜き出しました。
影響範囲
ゲートウェイがチャネルと自動ペアリングすることはなかったものの、デーモンは依然としてファイルシステムとネットワークにアクセスできました。npmモジュールをキャッシュしたCIランナーは、知らず知らずのうちにインプラントをゴールデンイメージにバンドルしてしまいました。このインシデントは、従来のサプライチェーン攻撃が悪意のあるAIエージェントのスキルを仕込むためにどのように利用されうるかを示しました。
教訓
Clineはnpmトークンをローテーションし、Sigstore署名を追加し、現在ではリリースに2人のメンテナーを必要としています。OpenClawは署名付きマニフェストチェックを導入し、将来のサイレントインストールが公開されたチェックサムと一致することを必須としました。ClawHubは「固定パブリッシャー」ラベルを追加し、オペレーターが組織で検証済みのスキルにインストールを限定できるようにしました。
次の波を防ぐためのオペレータープレイブック
- 脅威インテリジェンスの同期: ClawHubのモデレーションフィードとStepSecurity SLSAレーダーを購読してください。これらをスキル用のCVEフィードとして扱います。
- 不変の許可リスト: 監査済みのスキルIDのみをミラーリングします。ClawHubの
npx clawhub sync --allowlistモードはこの目的のために存在します。 - 自動リント + 人によるレビュー:
openclaw skills lint --exfilを実行し、シークレットを読み取ったり、/usr/binに触れたり、シェルを起動したりするスキルの自動承認をブロックします。 - ランタイムモニター: OpenClawプロセスが
curl、tar、またはscpを起動するたびにアラートを出すFalcoまたはOSQueryルールを導入します。これらのケースにおけるすべての悪意のあるスキルに共通していたのは、この点です。 - 認証情報のスコープ設定: PATとAPIキーをローテーションし、エージェントがリポジトリごとのスコープのみを持つようにします。ClawHavocのクルーは、リポジトリ+ワークフローのスコープを持つGitHub PATを特に収益化しました。なぜなら、それらを使って他の場所に悪意のあるPRをプッシュできたからです。
結論
最新の主流メディアの報道は一つの方向を指し示しています。スキルマーケットプレイスは今やAIエージェントにとって主要なサプライチェーンの標的となっています。Antiy LabsのClawHavocに関する報告、SnykのToxicSkills監査、そしてStepSecurityのcline@2.3.0インシデント分析はすべて同じパターンを示しています。つまり、レビューが浅く、ランタイム監視が欠けている場合に悪意のあるスキルが成功するのです。OpenClawのオペレーターにとって、実践的な教訓は単純です。公開されたケースの証拠を信頼し、インストール前に出所とリントゲートを強制し、本番インフラのようにライブ実行を監視することです。
よくある質問
OpenClawの悪意のあるスキルとは何ですか?
OpenClawの悪意のあるスキルとは、AIエージェントの機能であり、多くの場合ClawHubを介して配布されます。データ漏洩、認証情報窃盗、システム侵害などの不正なアクションを実行するように設計された、隠されたり偽装されたりしたコードを含んでいます。これらはエージェントの権限と信頼メカニズムを悪用します。
悪意のあるOpenClawスキルを特定するにはどうすればよいですか?
過剰な権限の要求、異常なネットワークアクティビティ、機密ファイルへのアクセス試行などの不審な動作に注意してください。インストール前に、必ずパブリッシャーを確認し、出所メタデータをチェックし、openclaw skills lint --exfilのようなセキュリティリンティングツールを使用してください。話がうますぎるように思える機能や、予期しないシェルアクセスを要求するスキルには注意してください。
ClawHubとは何ですか?なぜ標的になるのですか?
ClawHubはOpenClawの公式スキルマーケットプレイスであり、ユーザーは新しいAIエージェントの機能を簡単にインストールできます。スキルがAIエージェントの全権限(システムリソースや機密認証情報へのアクセスを含む)を継承するため、標的となります。これにより、ClawHavocやToxicSkillsのようなインシデントで示されているように、サプライチェーン攻撃にとって魅力的なベクトルとなっています。
OpenClawはセキュリティを向上させるためにどのような措置を講じましたか?
インシデントを受けて、OpenClawとClawHubはより厳格な公開要件(例:アカウントの作成時期、検証済みメールアドレス)を実装し、トレーサビリティのための出所タグを導入し、報告されたスキルに対する自動隔離メカニズムを追加しました。また、OpenClawは現在、署名付きリリース・マニフェストを提供し、セキュリティ審査を強化するためにopenclaw skills publish --scanやopenclaw skills lint --exfilのようなツールを提供しています。
AI受付を数分で稼働。
眠らないAIでフロントデスクを拡張しましょう。Solveaは複数チャネルの問い合わせに対応し、予約を自動でカレンダーに登録し、24時間機会損失を防ぎます。
プロンプトインジェクションは悪意のあるスキルの実行につながる可能性がありますか?
はい、Clineのnpm侵害で見られたように、プロンプトインジェクションはベクトルとなり得ます。攻撃者は巧妙に作成されたプロンプトを通じてAIエージェントを操作し、意図しないコマンドを実行させたり、悪意のあるスキルをロードさせたりすることができます。これは、堅牢な入力検証と、ユーザープロンプトや外部データと対話するあらゆるスキルを慎重にレビューする必要性を浮き彫りにします。
