ClawHubで341件の悪意あるスキルが発見 – AIエージェントを狙うサプライチェーン攻撃の新たな脅威

セキュリティ企業Koi Securityによる監査で、AIアシスタント「OpenClaw」向けマーケットプレイス「ClawHub」において、341件もの悪意あるスキルが発見されました。この発見は、AIエージェントエコシステムにおけるサプライチェーン攻撃のリスクを浮き彫りにしています。Claude Codeユーザーにとっても、サードパーティ製ツールやスキルを導入する際の注意点として、非常に参考になる事例です。

この記事のポイント
攻撃の手口
標的となったスキルの特徴
AIエージェント特有のセキュリティリスク
プラットフォームの対応
知っておくと便利なTips
まとめ

この記事のポイント

ClawHub上の2,857件のスキルを監査した結果、341件が悪意あるものと判明
335件がmacOS向けステイラーマルウェアを配布、残りはバックドアや認証情報窃取を実行
AIエージェント特有の脆弱性「永続的メモリ」「外部通信機能」「信頼できないコンテンツへの露出」が悪用される

攻撃の手口

今回発見された悪意あるスキルは、非常に巧妙な手法でユーザーを騙していました。暗号通貨トラッカー、YouTube関連ユーティリティ、自動アップデーターなど、一見すると便利なツールを装い、プロフェッショナルなドキュメントまで用意されていました。

攻撃の核心は「Prerequisites（前提条件）」セクションにあります。ユーザーがスキルをインストールする際、このセクションで悪意あるペイロードのインストールを誘導します。Windowsユーザーに対しては、GitHubから「openclaw-agent.zip」をダウンロードさせ、キーロギング機能を持つトロイの木馬を配布。macOSユーザーに対しては、glot.ioから難読化されたシェルスクリプトを実行させ、次段階のペイロードを取得させます。

最終的に、これらのスクリプトはC2（コマンド＆コントロール）インフラ（91.92.242.30）に接続し、「Atomic Stealer」と呼ばれるマルウェアを取得します。このマルウェアは月額500〜1000ドルで取引されている商用マルウェアで、APIキー、認証情報、暗号通貨ウォレットなどを窃取します。

標的となったスキルの特徴

攻撃者は以下のような偽装パターンを使用していました：

タイポスクワッティング（打ち間違いを狙った偽名）
– clawhub1、clawhubb、cllawhubなど、正規名に酷似した名前

人気カテゴリの偽装
– Solana/Ethereumウォレットツール
– Polymarket取引ボット
– Google Workspace連携ツール
– 財務トラッカー

一部のスキルは、実際に機能するコードの中にリバースシェルバックドアを隠しており、発見が困難でした。また、~/.clawdbot/.envファイルからボット認証情報を窃取し、Webhookエンドポイントに送信するものも確認されています。

AIエージェント特有のセキュリティリスク

セキュリティ研究者は、AIエージェントが持つ3つの特性の組み合わせを「致命的な三位一体（lethal trifecta）」と表現しています：

永続的メモリ: 会話履歴や設定が保存され、攻撃者が「メモリポイズニング」を仕掛ける余地がある
信頼できないコンテンツへの露出: 外部からのデータを処理する過程で悪意あるコードが混入する可能性
外部通信機能: ネットワーク接続能力があるため、データの外部送信が可能

これらの特性により、「時間差攻撃」が可能になります。最初は無害に見えるスキルが、時間が経ってから悪意ある動作を開始するケースも考えられます。

プラットフォームの対応

OpenClawの創設者であるPeter Steinberger氏は、ユーザーが不審なスキルを報告できる機能を実装しました。「3件以上のユニークな報告を受けたスキルは、デフォルトで自動的に非表示になります」とのことです。ただし、各ユーザーは同時に最大20件の報告を送信できるため、この仕組みの悪用も懸念されています。

知っておくと便利なTips

スキルのインストール前に必ず確認: 作者の信頼性、ダウンロード数、レビュー、ソースコードを確認する
「Prerequisites」セクションに注意: 外部からのダウンロードやスクリプト実行を要求するスキルは要注意
タイポスクワッティングに警戒: 正式名称と微妙に異なる名前のスキルは避ける
定期的な認証情報のローテーション: APIキーやトークンは定期的に更新する
環境変数ファイルの権限確認: .envファイルなどの機密ファイルのアクセス権限を適切に設定する

まとめ

今回の発見は、AIエージェントエコシステムにおけるサプライチェーン攻撃の危険性を明確に示しています。Claude Codeをはじめとするコーディングアシスタントを利用する際も、サードパーティ製のツールやスキルをインストールする前に、その信頼性を十分に確認することが重要です。特に、外部スクリプトの実行や追加ソフトウェアのダウンロードを要求するものには、細心の注意を払いましょう。オープンなエコシステムの利便性と、セキュリティリスクのバランスを意識しながら、安全にAIツールを活用していくことが求められています。

📎 元記事: https://thehackernews.com/2026/02/researchers-find-341-malicious-clawhub.html