サイバーニュース.jp

世界のサイバーなニュースを配信

OpenClaw、ClawHubスキルのセキュリティ強化へVirusTotalと提携 – 多数の脆弱性が露呈する中で

カテゴリ:

OpenClaw、ClawHubスキルマーケットプレイスのセキュリティを強化

OpenClaw(旧MoltbotおよびClawdbot)は、AIエージェントのエコシステムにおけるセキュリティ強化の一環として、Google傘下のVirusTotalとの提携を発表しました。ClawHubにアップロードされるすべてのスキルは、悪意のあるコンテンツの検出を目的としたスキャン対象となります。この提携により、AIエージェントのスキルエコシステムのセキュリティは一層強化される見込みです。

OpenClawの創設者Peter Steinberger氏は、Jamieson O’Reilly氏およびBernardo Quintero氏と共に、「ClawHubに公開されるすべてのスキルは、VirusTotalの脅威インテリジェンスと、彼らの新しいCode Insight機能を使用してスキャンされます。これにより、OpenClawコミュニティに追加のセキュリティレイヤーが提供されます」と述べています。

VirusTotalスキャンプロセスの詳細

このスキャンプロセスでは、各スキルバンドルに対して一意のSHA-256ハッシュが作成され、VirusTotalのデータベースと照合されます。データベースに一致が見つからない場合、スキルバンドルはVirusTotal Code Insightを使用してさらなる分析のためにアップロードされます。Code Insightが「良性」と判断したスキルはClawHubによって自動的に承認され、疑わしいとマークされたスキルには警告が表示されます。悪意があると判断されたスキルはダウンロードがブロックされます。

また、OpenClawは、アクティブなすべてのスキルを毎日再スキャンし、以前はクリーンであったスキルが悪意を持つようになったシナリオを検出するとしています。しかし、OpenClawのメンテナーは、VirusTotalスキャンは「万能薬ではない」と警告しており、巧妙に隠されたプロンプトインジェクションのペイロードを使用する悪意のあるスキルがすり抜ける可能性も示唆しています。

エージェントエコシステムのセキュリティ上の課題

今回の発表は、ClawHubで数百の悪意のあるスキルが発見されたという報告に続くものです。これらのスキルは、正規のツールを装いながら、内部ではデータ流出、リモートアクセスのためのバックドア挿入、あるいはスティラー型マルウェアのインストールといった悪意ある機能を果たしていました。

Ciscoは、「システムアクセス権を持つAIエージェントは、従来のデータ損失防止、プロキシ、エンドポイント監視をバイパスする、隠れたデータ漏洩チャネルになり得る」と指摘しています。さらに、「モデルは実行オーケストレーターにもなり得、プロンプト自体が命令となり、従来のセキュリティツールでは捕捉が難しい」とも述べています。

OpenClawの人気の高まりは、セキュリティ上の懸念を引き起こしています。スキルはワークフローをトリガーし、オンラインサービスと連携し、デバイス間で操作を行うための自動化エンジンとして機能しますが、その広範なアクセス権限と、信頼できないソースからのデータを処理する能力が、マルウェアやプロンプトインジェクションといったリスクへの扉を開く可能性があります。つまり、これらの統合は、攻撃対象領域を大幅に拡大し、エージェントが消費する信頼できない入力のセットを増やし、データ流出やその他の悪意のある行動のための「エージェント型トロイの木馬」に変貌させる可能性があります。

OpenClawに特定された具体的な脆弱性

AIセキュリティ企業HiddenLayerの研究者たちは、OpenClawのアーキテクチャと設計における複数の問題点を特定しています。特に懸念される点は以下の通りです。

  • 資格情報のクリアテキスト保存: OpenClawは資格情報を平文で保存し、ユーザー入力による直接evalを含む不安全なコーディングパターンを使用している。
  • 不完全なアンインストール: 一般的なアンインストール方法では機密データが残存し、アクセスを完全に撤回することはユーザーが考えているよりもはるかに困難である。
  • ゼロクリック攻撃の可能性: 巧妙に作成されたWhatsAppメッセージに埋め込まれたプロンプトインジェクションペイロードを悪用し、.envおよびcreds.jsonファイルを流出させるなどの攻撃シナリオが示されている。
  • 間接プロンプトインジェクション: ウェブページに埋め込まれた間接プロンプトインジェクションにより、OpenClawが悪意のある命令を~/.openclaw/workspace/HEARTBEAT.mdファイルに追加し、外部サーバーからのコマンドをサイレントに待機する。
  • ClawHubスキルの脆弱性: ClawHubマーケットプレイスの3,984スキルを分析した結果、約7.1%にあたる283のスキルに、LLMのコンテキストウィンドウや出力ログを通じて機密情報を平文で公開する重大なセキュリティ上の欠陥が発見された。
  • 公開されたゲートウェイ: OpenClawのゲートウェイはデフォルトで0.0.0.0:18789にバインドされており、2026年2月8日時点で30,000以上のインスタンスがインターネット上でアクセス可能であることがCensysのデータから示されている。
  • Moltbookのデータ漏洩: Moltbookに属するSupabaseデータベースの誤設定により、150万のAPI認証トークン、35,000のメールアドレス、およびエージェント間のプライベートメッセージが公開された。
  • サンドボックスのデフォルト無効化: OpenClawは多くのセキュリティ上重要な決定を構成された言語モデルに依存しており、ユーザーがDockerベースのツールサンドボックス機能を積極的に有効にしない限り、システム全体へのアクセスがデフォルトのままとなる。

広がるリスクと国際的な警戒

Persmiso Securityは、AIエージェントがユーザーのデータへの広範なアクセス権を持つため、OpenClawエコシステムのセキュリティはアプリストアやブラウザ拡張機能マーケットプレイスよりもはるかに重要であると主張しています。「AIエージェントは、あなたのデジタルライフ全体への資格情報を取得します」とセキュリティ研究者のIan Ahl氏は指摘しています。「ブラウザ拡張機能が一定の隔離レベルを持つサンドボックス内で実行されるのに対し、これらのエージェントは、あなたが与える完全な権限で動作します。」

このOpenClawに関連する数々のセキュリティ問題を受け、中国工業情報化部は、誤設定されたインスタンスに対する警告を発し、サイバー攻撃やデータ漏洩から保護するための対策を講じるようユーザーに促しました。SOCRadarのCISOであるEnsar Seker氏は、「エージェントプラットフォームがセキュリティプラクティスが成熟するよりも速く普及すると、設定ミスが主要な攻撃対象になります」と述べています。「リスクはエージェント自体ではなく、強化されたID、アクセス制御、実行境界なしに、自律的なツールをパブリックネットワークに公開することにあります。」

OpenClawが公開するセキュリティ計画

VirusTotalとの提携に加えて、OpenClawは以下のセキュリティ関連の発表も行う予定です。

  • 包括的な脅威モデル
  • 公開セキュリティロードマップ
  • 正式なセキュリティ報告プロセス
  • コードベース全体のセキュリティ監査の詳細

これらの対策が、AIエージェントエコシステムにおけるセキュリティ課題の解決にどれだけ貢献できるか、今後の動向が注目されます。

元記事: https://thehackernews.com/2026/02/openclaw-integrates-virustotal-scanning.html

投稿をさらに読み込む