世界を動かす技術を、日本語で。

ClawHubで最もダウンロードされたスキルにマルウェアが含まれている

2026年2月5日原文(1password.com)

概要

OpenClawなどのエージェントゲートウェイは強力だが、同時に重大なセキュリティリスクを伴う Markdownベースの「スキル」がマルウェア配布の新たな経路となっている MCPの存在だけでは十分な安全性を担保できない現状 実際にOpenClawスキル経由でmacOSインフォスティーラーマルウェアが拡散された事例 今後必要なのは、エージェントに対する新たな信頼レイヤーの設計

OpenClawとエージェントゲートウェイの危険性

  • OpenClaw のようなエージェントゲートウェイは、 ローカルファイルやツール、ブラウザ、ターミナル への実アクセス権限を持つ
  • 長期的な「メモリーファイル」により、ユーザーの思考や作業内容も記録
  • これらの特徴は、 現代のインフォスティーラー型マルウェア の攻撃対象そのもの
  • エージェントのスキル配布エコシステム全体が 攻撃対象面(アタックサーフェス) となっている現状
  • 会社端末でのOpenClaw利用は厳禁、既に実行した場合は即座にセキュリティチームへ報告推奨

Markdownスキルの危険性

  • OpenClawの「スキル」は多くが Markdownファイル で構成
  • Markdownには コマンド、リンク、ツール呼び出し手順 などが含まれる
  • エージェントや人間は、ドキュメントを そのまま手順通りに実行 しがち
  • Markdownは単なる説明ではなく インストーラー として機能
  • MCP(Model Context Protocol) による安全性を過信するのは危険
    • スキルはMCP外のコマンドやスクリプトを自由に含めることが可能
    • MCPをバイパスした ソーシャルエンジニアリングや直接的なシェル操作 が容易
  • OpenClawに限らず、 Agent Skillsフォーマット を採用する他エージェントにも同様のリスク

実際の攻撃事例

  • ClawHubで最もダウンロードされていた「Twitter」スキルが マルウェア配布 に悪用
    • 一見普通のセットアップ手順に見せかけ、 悪意あるリンク へ誘導
    • コマンド実行で 難読化ペイロード→スクリプト→バイナリ実行 の多段攻撃
    • macOSのGatekeeperを回避する細工も含む
  • VirusTotalで確認した結果、 macOS向けインフォスティーラーマルウェア と判明
    • ブラウザセッション、保存認証情報、APIキー、SSHキー、クラウド認証情報などを窃取
  • 数百件単位のスキルが ClickFix型手法 で同様のマルウェアを拡散するキャンペーンだったことが後に判明

エージェントスキルレジストリの新たなサプライチェーンリスク

  • パッケージマネージャやOSSレジストリ同様、 スキルレジストリがサプライチェーン攻撃の温床
  • Markdownが「危険」と認識されにくく、 トップダウンロード=信頼できる という誤解が広がりやすい
  • エージェントが自動で手順を要約・推奨することで 危険な行動が正当化 されやすい
  • シェルコマンド実行権限があれば、 マルウェアの遠隔実行 が「親切なドキュメント」に偽装可能

今すぐ取るべき対策

  • OpenClawやスキルレジストリ利用者
    • 会社端末での利用禁止
    • 既に実行した場合は 即セキュリティチームへ報告、端末隔離
    • セッション・認証情報のローテーション(ブラウザ、APIキー、SSH、クラウド等)
    • 各種管理画面のログイン履歴確認
    • 検証時は 完全隔離された端末 で行う
  • スキルレジストリ運営者
    • アプリストア同様の 審査・監視体制
    • インストーラー型コマンド、難読化ペイロード、隔離解除処理等の自動スキャン
    • 発行元の信頼性・評判表示
    • 外部リンク・インストール手順への警告表示
    • 人気スキルの定期監査・迅速な削除対応
  • エージェントフレームワーク開発者
    • スキルの 悪用前提 で設計
    • デフォルトでシェル実行禁止
    • ブラウザ・キーチェーン・認証情報ストアへのアクセスを サンドボックス化
    • 権限は 用途限定・時間限定・取り消し可能
    • コード・コマンド実行時の摩擦追加(確認・警告)
    • 全アクションの証跡記録

今後求められる「信頼レイヤー」の設計

  • OpenClawの強み= 意図と実行の距離を極限まで縮める こと
  • だが、スキル配布が サプライチェーン となることで、 攻撃者にとって最適な経路 も生まれる
  • 今後必要なのは、「 スキルの真正性・発行元の証明」「 実行の仲介・監査」「 権限の限定化・取り消し」といった 信頼レイヤー の設計
  • エージェントが私たちの代理となる時、 あらゆる認証情報・機密操作はリアルタイムで管理・監査 されるべき
  • 最小権限・時間限定・取り消し可能・証跡付きの権限設計 が、エージェント時代の安全な未来の必須条件

Hackerたちの意見

なんでこういう記事っていつもAIが書いてるの?AIに無駄なテキストを生成させる意味って何?

  1. その人はもう自分で書くのが面倒になったか、AIが1文の入力をもとに15秒で書けるから「兄弟、2時間かけて書くくらいなら、競合はその間に50記事生成してる」って考えに至ったか、または「兄弟、あいつらが2時間かけて記事を書く間に、俺はAIを使って50記事作る」っていう別のパターン。2) それでも、言葉数や平均読了時間、広告挿入のためのコンテンツの長さなど、古い指標に縛られてるんだよね。ついこの前、上司が「クライアントに詳細を全部書いた大きなメールをAIで3分で作って、電話の前に送った」って自慢してたけど、クライアントからは「今、AIで要約して確認したところだよ」って返事が来た。(上司は当然、失礼だと思ってたけど)

HNのトップページに載ってて、クリックや注目を集めてるけど、残念ながらほとんどの人は重要な部分には興味がないんだよね。

そうそう!!このテーマには興味あるけど、AIのパターンを見分けられるようになると、すごくイライラするんだよね。

こういうブログ記事はSEOのためだよ。テキストが短すぎると、Googleが無視しちゃう。Googleは長い記事を好むから、「how to X」って検索結果は「what is X」「why do X」「why is doing X important」って5段落も続いてから「how to X」の話に入るんだよね。

これは難しい問題だと思う。記事の内容は価値があるからね。読んでいると、いくつかのAIの特徴に気づいた。まるでレコードがスクラッチする音を聞くような感じで、ほぼ毎段落ごとに。だけど、内容に興味があったから、ほとんど「ノイズ」を無視しながら読み続けた。心配なのは、AI生成のコンテンツが増えると、そのレコードのスクラッチ音に鈍感になってしまうこと。過剰露出や、特徴を認識できない人、見たものを真似する人たちがいると、もしかしたら新しい書き方のスタイルが広まることを受け入れなきゃいけなくなるかもしれない。

XP時代に、無知な親戚にパソコンを長時間触らせてたら、最終的には何かをインストールして、Internet Explorerがこんな風になっちゃったよね。今はセキュリティの問題がもっと深刻になってるし、将来的には面白いスクリーンショットも共有できなくなるかも。

あの時代は、普通のユーザーがどれだけひどくて遅いインターフェースに耐えられるかを教えてくれた。

正直、これは選ばれたシステムの論理的な結果だと思う。「スキル」って概念はあまりにも広すぎて、セキュリティが確保される可能性は低いよね。OpenClawの話でも、ユーザーが自分のマシンにフルアクセスを与えて、うまくいくことを願ってるだけで、セキュリティは明らかに二の次になってるし。これをきっかけに、数十年前のアイデア(セキュリティや権限レベルの設定とか)を思い出すことができればいいけど、正直疑問だな。

スキルって、結局は言語モデルへの入力が増えるだけだよね?それは悪いことに思えるけど、もしボットが未加工のメールやウェブサイトを読んでるなら、セキュリティモデルにはもっと大きな問題があると思う。

本当のところ、ここで何をすればいいのか分からないってことだと思う。理想的なAIエージェントの本質は、言ったことを何でもやることなのに、権限やサンドボックスがそれを否定しちゃう。業界としての不快な真実は、「AIを使うな」とか「権限を与えすぎたのが悪い」って言う以外に、実際には何をすればいいのか分からないってことだと思う。私の予感では、AIが人間やAIが開発したマルウェアを見つけようとする武器競争になるだろうし、人間やAIは検出されないマルウェアを開発しようとするだろう。サンドボックスや権限は多少は助けになるかもしれないけど、ユーザーが自分を偽装しようとしている自己修正コードがあると、既存のメカニズムが見たことのない新しい挑戦になる。さらに、ユーザーは行動の結果すら分からない。実際、キュレーションされたアプリストアとそうでないものの両方にセキュリティやマルウェアの問題がある。既存の解決策で解決済みの問題だと装っても、前に進む助けにはならないよ。

セキュリティは、これまでのOpenClawの物語では明らかに二の次だったね。 s/OpenClaw/LLM/g

Hacker Newsで議論の続きを見る