概要：AIエージェントエコシステムが新たな脅威ベクトルに

人気のAIエージェントエコシステムであるOpenClawが、巧妙なマルウェアキャンペーンの新たなサプライチェーン攻撃ベクトルとして悪用されています。数多くの悪意あるスキルがOpenClawのマーケットプレイスを通じて流通しており、正規の自動化ツールを装ったドロッパー、バックドア、インフォスティーラーを配布しています。

OpenClawスキルがマルウェア配布チャネルに

OpenClawは、ユーザーのシステム上でシェルコマンド、ファイル操作、ネットワークリクエストを実行する自己ホスト型AIエージェントです。このプラットフォームの機能は、ClawHubマーケットプレイスを通じて配布されるサードパーティパッケージ「スキル」によって拡張されます。これらのスキルには、メタデータと指示を含むSKILL.mdファイルや、実行可能なスクリプト、リソースが含まれています。

VirusTotal Code Insightは3,016以上のOpenClawスキルを分析し、そのうち数百が悪意のある特性を示していることを発見しました。一部にはハードコードされたシークレットや安全でないコマンド実行といったセキュリティ上の問題が見られるものの、かなりの割合が意図的に悪意を持って設計されており、データ流出、バックドアのインストール、リモートシステム制御を目的としています。

セキュリティ研究者らは、ClawHubユーザー「hightower6eu」が多作なマルウェア発行者として活動していることを突き止めました。このユーザーに関連する314のスキルが悪意あるものとして特定されています。この脅威アクターは、仮想通貨分析、金融追跡、ソーシャルメディアツールなどを装ったスキルを配布し、ユーザーにセットアップ中に外部コードをダウンロード・実行するよう指示しています。

特に「Yahoo Finance」スキルの分析からは、高度な攻撃チェーンが明らかになりました。

• Windowsユーザーは、パスワードで保護されたZIPファイルをダウンロードするよう誘導され、その中には複数のベンダーによってパックされたトロイの木馬と識別された「openclaw-agent.exe」が含まれています。
• macOSユーザーは、難読化されたBase64エンコードのシェルスクリプトを受け取り、それがAtomic Stealer (AMOS) マルウェアをダウンロード・実行し、パスワード、ブラウザの認証情報、仮想通貨ウォレットなどを窃取します。

検出と緩和策

VirusTotalは、Gemini 3 Flashを活用した分析を展開し、主張された機能ではなく実際の挙動を検査することで、悪意あるOpenClawスキルを検出しています。現在、同プラットフォームは、外部コードをダウンロードしたり、機密データにアクセスしたり、システムを危険にさらす可能性のある指示を含むスキルを特定します。

セキュリティ専門家は、OpenClawの実行をサンドボックス化し、スキルフォルダを信頼できるコードの境界として扱うこと、そしてコミュニティスキルをインストールする前にスキャンすることを推奨しています。マーケットプレイス運営者は、リモート実行機能や難読化されたスクリプトを含むスキルを検出するため、公開時スキャンを実装すべきだと提言されています。

元記事: https://gbhackers.com/abuse-of-openclaw-ai-capabilities-enables-stealthy-malware/