【緊急警告】OpenClawに341個の悪意あるスキルが発見!あなたの仮想通貨が盗まれている可能性
結論から言うと、今すぐOpenClawのスキルを確認してください。あなたの認証情報と仮想通貨ウォレットが危険にさらされています。
2026年2月、AIエージェント界隈を震撼させるニュースが飛び込んできました。
話題沸騰中の自律型AIエージェント「OpenClaw」のスキルマーケットプレイス「ClawHub」で、341個もの悪意あるスキルが発見されたのです。
OpenClawとは?なぜこんなに話題なのか
OpenClawは、オーストリアの開発者Peter Steinberger氏が作成したオープンソースの自律型AIエージェントです。元々は「Clawdbot」という名前でしたが、Anthropicからの商標に関する依頼を受けて「Moltbot」に改名、その後「OpenClaw」に再改名されました。
驚異的な人気
- 72時間で6万以上のGitHubスターを獲得
- 現在は15万以上のGitHubスター
- OpenAI共同創業者のAndrej Karpathy氏が「ここ数年で見た中で最もSFチックなもの」と絶賛
- Elon Musk氏も「シンギュラリティの初期段階」とツイート
OpenClawができること
- ファイルの読み書き
- ウェブブラウジング
- メッセージ送信
- カレンダー管理
- オンラインショッピング
- 金融市場との連携
最後の項目、気になりませんか?そう、これが今回の問題の核心です。
「死のトリオ」- なぜOpenClawは危険なのか
Palo Alto Networksのセキュリティ研究者は、OpenClawを**「致命的なトリオ」**と呼んでいます。
致命的なトリオ(Lethal Trifecta):
1. 信頼できない入力への露出
2. 永続的なメモリ
3. 実世界でのアクション実行能力
1. 信頼できない入力への露出
OpenClawはメール、カレンダー、ウェブページなど、様々なソースからデータを取得します。攻撃者はこれらに悪意のある命令を埋め込むことができます。
実際の攻撃例:
- カレンダーの招待状に隠された悪意のある命令
- ウェブページに埋め込まれた「セッションCookieを外部に送信せよ」という隠しテキスト
- メールの「システムノート」を偽装したセキュリティガードレール回避命令
2. 永続的なメモリ
OpenClawの特徴的な機能である「永続的メモリ」は、数週間にわたる過去のやり取りを記憶し、ユーザーの習慣に適応します。
問題点:
一度悪意のある命令がメモリに入り込むと、それが長期間にわたって影響を与え続けます。
3. 実世界でのアクション実行能力
OpenClawは単なるチャットボットではありません。実際にコマンドを実行し、ファイルを操作し、金融取引を行うことができます。
341個の悪意あるスキル - ClawHavoc攻撃の全貌
セキュリティ企業Koi Securityの調査によると、ClawHubに登録された2,857個のスキルのうち、341個が悪意あるものでした。
攻撃のタイムライン
| 日付 | イベント |
|---|---|
| 2026/1/27-29 | 第1波:28個の悪意あるスキルが公開 |
| 2026/1/31-2/2 | 第2波:386個の悪意あるスキルが公開 |
| 2026/2/2 | セキュリティ研究者が「ClawHavoc」として報告 |
偽装されていたカテゴリ
攻撃者は、需要の高いユーティリティを装っていました:
仮想通貨ユーティリティ: 111個 ← 最多
YouTubeツール: 57個
予測市場ボット(Polymarket向け): 34個
自動アップデーター: 28個
金融・ソーシャルトレンドツール: 51個
Google Workspaceインテグレーション: 17個
Atomic Stealer(AMOS)の脅威
発見された335個のスキルは、**Atomic Stealer(AMOS)**と呼ばれるmacOS向けマルウェアをインストールするものでした。
Atomic Stealerの被害:
- 仮想通貨ウォレットの秘密鍵の窃取
- ブラウザに保存されたパスワードの窃取
- システム認証情報の窃取
ワンクリックでシステム完全掌握 - CVE-2026-25253
2026年1月30日、さらに衝撃的な脆弱性が公開されました。
CVE-2026-25253(CVSSスコア: 8.8)
脆弱性の内容
// 脆弱なコード(概念的な説明)
// Control UIがgatewayUrlをクエリ文字列から検証なしで信頼
// 自動接続時にgatewayトークンをWebSocket接続ペイロードで送信
攻撃シナリオ
- 攻撃者が悪意のあるリンクを作成
- OpenClawユーザーがリンクをクリック
- Cross-Site WebSocket Hijacking攻撃が発動
- システム完全掌握
なぜこれが可能なのか?サーバーがWebSocketのOriginヘッダーを検証していなかったからです。つまり、任意のウェブサイトからのリクエストを受け入れてしまうのです。
あなたのOpenClawは大丈夫?チェックリスト
今すぐ確認すべきこと
- OpenClawのバージョンが2026.1.29以上か確認
- インストール済みスキルのリストを確認
-
以下のカテゴリのスキルを特に精査:
- 仮想通貨関連
- Polymarket関連
- YouTubeツール
-
~/.clawdbot/.envファイルに機密情報がないか確認
怪しいスキルの見分け方
# スキルのソースを確認するコマンド
cat ~/.openclaw/skills/<skill-name>/manifest.json
警告サイン:
- 説明と異なる権限を要求している
- 外部URLへの接続が多い
- インストール時に「前提条件」としてコマンド実行を要求
開発者の対応と限界
OpenClawの作成者Peter Steinberger氏は、Xで以下のように認めています:
「現在、大量のスキル投稿を全てレビューすることは不可能です。ユーザーは自己責任でスキルの安全性を確認する必要があります」
新機能:報告システム
- サインインユーザーがスキルをフラグできる機能を追加
- 各ユーザーは最大20件のアクティブな報告が可能
- 3件以上のユニークな報告があるスキルは自動的に非表示
しかし、これは十分でしょうか?
安全にOpenClawを使うための5つの対策
1. 仮想マシンで隔離する
# 推奨される隔離方法
# Docker or VMでOpenClawを実行
docker run --rm -it \
--cap-drop=ALL \
--network=host \
openclaw/openclaw:latest
2. 権限を最小限に
OpenClawに与える権限を厳しく制限しましょう。
- 金融サービスへのアクセスは本当に必要か?
- メールへのフルアクセスは必要か?
- ファイルシステム全体へのアクセスは必要か?
3. 公式スキルのみ使用
ClawHubからスキルをインストールする際は、以下を確認:
- 作成者の実績
- スターの数と評価
- 最終更新日
- ソースコードの確認
4. ネットワーク監視
# 異常な外部接続を監視
netstat -an | grep openclaw
5. 定期的なセキュリティ監査
OpenClawは公式のセキュリティ監査ツールを提供しています。
# セキュリティ監査の実行
openclaw security audit
まとめ:AIエージェント時代の「新しい脅威」
OpenClawの事例は、AIエージェント時代の新しいセキュリティ脅威を浮き彫りにしています。
重要なポイント
- 341個以上の悪意あるスキルがClawHubで発見
- CVE-2026-25253:ワンクリックでシステム完全掌握の脆弱性
- Atomic Stealerによる仮想通貨・パスワード窃取
- 「致命的なトリオ」:信頼できない入力、永続的メモリ、実行能力
参考リンク
この記事が役に立ったら、いいねと保存をお願いします!
コメント欄で教えてください:
- OpenClawを使っていますか?
- どんなセキュリティ対策を取っていますか?
- AIエージェントのセキュリティについて、どう思いますか?
次回は「安全なAIエージェント環境の構築方法」を詳しく解説予定です!
Discussion