概要

AIアシスタント「OpenClaw」のサードパーティースキルマーケットプレイス「ClawHub」において、341件もの悪意あるスキルが発見され、ユーザーがサプライチェーン攻撃のリスクに晒されていることが明らかになりました。

ClawHavocキャンペーンの詳細

• セキュリティ企業のKoi Securityが実施した監査により、2,857件のスキルから341件の悪意あるスキルが特定されました。
• そのうち335件のスキルが「ClawHavoc」と名付けられたキャンペーンに属し、偽の前提条件を利用してmacOS向けのマルウェア「Atomic Stealer（AMOS）」をインストールさせようとします。
• Windowsユーザーに対しては、GitHubリポジトリから「openclaw-agent.zip」というファイルをダウンロードするよう指示されます。このアーカイブにはキーロギング機能を備えたトロイの木馬が含まれており、APIキー、認証情報、その他の機密データが窃取される可能性があります。
• macOSユーザーに対しては、glot[.]ioでホストされているインストールスクリプトをTerminalアプリにコピー＆ペーストするよう指示されます。このスクリプトは難読化されており、攻撃者が制御するインフラから追加のペイロードをフェッチし、最終的にAtomic Stealerをダウンロード・実行させます。
• macOSが標的となっているのは、AIアシスタントを24時間稼働させるためにMac Miniを購入するユーザーが増えていることと関連があると考えられています。

悪意あるスキルの手口

攻撃者は、正当なスキルに見せかけるために様々な偽装を行っていました。以下はその主な例です。

• ClawHubのタイポスクワッティング（例：clawhub, clawhub1, clawhubbなど）
• 仮想通貨ツール（Solanaウォレットトラッカーなど）
• Polymarketボット（polymarket-traderなど）
• YouTubeユーティリティ（youtube-summarizeなど）
• 自動更新ツール（auto-updater-agentなど）
• 金融およびソーシャルメディアツール（yahoo-finance-proなど）
• Google Workspace連携を謳うツール
• Ethereumガス料金トラッカー、失われたBitcoin検索ツール

さらに、機能するコード内にリバースシェルバックドアを隠したり（例：better-polymarket）、ボットの認証情報（~/.clawdbot/.env）をwebhook[.]siteに外部送信したりするスキルも確認されています。

OpenClawの対応と今後の課題

ClawHubはデフォルトで誰でもスキルをアップロードできるオープンな設計であり、これが悪用の温床となっていました。OpenClawの作成者であるPeter Steinberger氏は、この問題に対応するため、悪意あるスキルを報告する機能を導入しました。

• 各ユーザーは最大20件のアクティブな報告を行うことができます。
• 3件以上のユニークな報告があったスキルは、自動的に非表示になります。

今回の発見は、オープンソースエコシステムが悪意のあるアクターによって悪用され、マルウェア配布の新たな経路となっている現状を浮き彫りにしています。Palo Alto Networksは、OpenClawが「危険な三要素（Lethal Trifecta）」、すなわち「プライベートデータへのアクセス」「信頼できないコンテンツへの露出」「外部との通信能力」を持つことで、AIエージェントが本質的に脆弱であることを指摘しています。特に、OpenClawの永続メモリ機能はリスクを増幅させ、時間差プロンプトインジェクション、メモリポイズニング、ロジックボム型の攻撃を可能にすると警告しています。

元記事: https://thehackernews.com/2026/02/researchers-find-341-malicious-clawhub.html