OpenClaw公式マーケット「ClawHub」、最大1,184の悪意あるAIスキルが流通しSSHキーなどを窃取

AIエージェント開発プラットフォーム「OpenClaw」の公式スキルマーケットプレイス「ClawHub」で、多数のマルウェアが「便利なAIスキル」として公開され、数千回ダウンロードされていたことが明らかになった。これは単なるバグではなく、プラットフォームの審査プロセスそのものをすり抜けた組織的なサプライチェーン攻撃の様相を呈しており、生成AI時代の新たなセキュリティ脅威を浮き彫りにした。AIエージェントに「能力」を追加するという便利な機能が、そのまま最大の脆弱性へと転化する危険な現実を示している。

「最も人気のスキル」が実はマルウェアだった

OpenClawのClawHubは、ChatGPTのGPTsに似た、AIエージェントに特定の機能を追加する「スキル」を共有・入手できる公式マーケットプレイスだ。ユーザーは、コードを書かずにワンクリックでエージェントに高度な機能を付与できるため、その利便性から急速に普及していた。

しかし、カスペルスキーの調査レポートによれば、このマーケットプレイスで「What Would Elon Do」と名付けられたスキルを含む多数のスキルが、実際には生産性ツールではなく、完全なマルウェアとして機能していた。このスキルは偽のダウンロード数を反映してトップランクに浮上し、より多くのユーザーにインストールされるように仕組まれていたという。1Passwordの分析によると、これらの悪意あるスキルは、インストールされるとSSH秘密鍵、ブラウザに保存されたパスワード、クッキー、さらには暗号資産ウォレットの情報などを窃取し、外部のサーバーに送信していた。さらに、リバースシェルを開いて感染したマシンの完全なリモート制御を可能にする機能も確認されている。

公式発表と第三者報告で開きのある被害規模

問題の深刻さは、被害規模の認識にも表れている。OpenClawを運営するClawTrustは公式ブログで、341件の悪意あるスキルを特定し、削除したことを報告している。同社は、VirusTotalとの連携による自動スキャン体制を導入し、今後は全ての新規スキル提出時にマルウェアスキャンを実施すると説明した。

一方、KuCoinのニュースサイトなど複数の第三者セキュリティレポートによれば、影響を受けたスキルの数は1,184件に上るとされている。この数値の開きは、検知方法や対象範囲の違いによるものと考えられるが、プラットフォーム側の初期対応では把握しきれない規模の攻撃が発生していた可能性を示唆している。いずれにせよ、数千回というダウンロードが発生していた事実は変わらない。

AIエージェント時代の新たなサプライチェーン攻撃ベクトル

この事件は、従来のソフトウェアサプライチェーン攻撃（悪意あるライブラリやプラグインの混入）が、AIエージェントの世界にそのまま移植されたことを意味する。しかし、その危険性はより高い。なぜなら、AIスキルは「自然言語で指示を出し、自動でタスクを完了してくれる魔法のようなツール」という文脈で宣伝されることが多く、技術的詳細に明るくないユーザーも気軽に導入してしまうからだ。ユーザーは、インストールしたスキルが背後でどのようなコードを実行し、どのデータにアクセスしているのか、ほとんど意識することがない。

具体的な使い方で考えてみると、例えば「メールの自動整理スキル」をインストールしたユーザーは、そのスキルがGmailのAPIにアクセスする権限を当然付与する。悪意あるスキルであれば、この権限を悪用してメール内容を盗み見たり、連絡先を取得したりすることが可能になる。あるいは「コードレビューを支援するスキル」は、リポジトリへの読み取り権限を得て、機密のソースコードや環境変数ファイルを抜き取る可能性がある。今回発覚したスキルは、このような「正当な権限」を悪用するのではなく、より直接的にシステムファイルを窃取するものだったが、攻撃の可能性は多岐にわたる。

プラットフォームの審査モデルの限界とユーザーが取るべき行動

OpenClawの事例は、「便利なマーケットプレイス」を提供するプラットフォームが、その成長速度と審査の厳密さの間でバランスを崩した典型例と言える。事前審査が不十分な「投稿後チェック」モデルでは、今回のように偽装が巧妙なマルウェアが大量に流通するまで検知できないリスクが常につきまとう。

現時点で、ClawHubを含む同種のAIスキルマーケットプレイスから、特に信頼できる出品元以外のサードパーティ製スキルを導入することは極めて危険だ。企業のセキュリティ担当者は、従業員が業務でAIエージェントを利用する際のガイドラインを急ぎ策定し、未承認のスキル追加を禁止する必要がある。個人ユーザーも、「便利だから」と安易に権限を付与する前に、そのスキルの提供元と要求する権限の妥当性を疑う習慣が求められる。

生成AIの応用が広がる中で、その拡張機能をめぐるセキュリティ戦いは始まったばかりだ。今回の事件は、技術的な可能性に目を奪われるだけでなく、その背後に潜む新しいリスクを常に想定し、管理しなければならないという、重い教訓を業界全体に突きつけている。