2026年初頭のOpenClawの爆発的な成長により、AIは単純なクエリツールから強力な自動化アシスタントへと進化しました。エージェントスキルにより、これらのAIシステムは新たな機能を獲得できるようになっています。
しかし、その一方で攻撃者にとっての格好の侵入口ともなっています。OpenClawの公式マーケットプレイスであるClawHub上の50,000件以上のスキルを最近スキャンした結果、標準的なセキュリティ対策を巧みにすり抜ける隠密な攻撃手法が明らかになりました。
エージェントスキルは、まったく新しく非常に危険な攻撃対象領域を形成しています。従来の脆弱性とは異なり、これらのスキルはファイルアクセス、ネットワーク通信、シェル実行の完全な権限を持った状態でユーザー環境上で直接動作します。
こうした変化を受け、OWASPは2026年4月にリスクを体系的に分類した「Top 10 Agentic Skills」を公開しました。エコシステムはわずか90日でゼロから50,000件のスキルへと急拡大し、それとともに深刻なセキュリティ上の課題ももたらされました。
大規模な攻撃の波を受けてClawHubが多層的なセキュリティ検知を導入した後も、依然として深刻な脅威が残存しています。
攻撃者はプラットフォームの防御を出し抜くために戦術を進化させており、明示的な悪意あるコードから高度に巧妙な偽装へと移行しています。
最も憂慮すべき発見の一つは、Silverfortの研究チームが2026年3月に特定したランキング操作の脆弱性です。攻撃者は認証なしのリクエストを送信することで、任意のスキルのダウンロード数を無制限に水増しできることを発見しました。
Silverfortはこの手法を実証するため、Outlookインテグレーションに偽装したスキルにデータ窃取用のペイロードを埋め込み、ClawHubのランキング第1位にまで押し上げてみせました。
この操作は人間のユーザーだけでなく、AIエージェント自身をも欺きます。OpenClawのエージェントは自律動作時に、ダウンロード数が最も多いツールを優先的にインストールしようとするためです。
そのため、高いランキングを獲得するだけで、セキュリティスキャンを回避する高度なコードを用いなくても、悪意あるスキルがAIエージェントに自動的に感染できてしまいます。
脅威の状況は、直接的なサプライチェーン攻撃によっても大きく影響を受けています。2026年2月に発生したClawHavoc事件は、この分野で最大規模の攻撃として記録されており、脅威アクターがタイポスクワッティングを用いて人気ツールになりすますという手口が使われました。
この結果、Atomic Stealer Trojanを展開する悪意あるスキルが247,000件以上インストールされる事態を招きました。
ランキング操作やタイポスクワッティングにとどまらず、研究者たちはClawHubの公式セキュリティチェックをすり抜ける高度に隠密なバックドアも発見しました。あるサンプルは分散型状態回復ツールに偽装していました。
このサンプルはリモートサーバーからシリアル化されたオブジェクトを取得し、複数層の難読化を経てデコードした上で、Pythonの安全でないデシリアライゼーションを通じて任意のコードを実行することで、静的検知を回避していました。
攻撃者はコードに悪意あるコマンドを直接記述する必要が一切なく、これは現在のプラットフォーム防御における重大な盲点を浮き彫りにしていると、Tencentは指摘しています。
これらの脆弱性は、AIツールサプライチェーン全体に広がるより大きな構造的リスクの症状といえます。データによれば、大規模かつ自動化されたスキル開発がすでに進行していることが示されています。
ClawHub上の全スキルのうち約13%をわずか20人の開発者が占めており、中には1日に10件以上のスキルを生成しているアカウントも存在します。こうした大量生産により、攻撃者はマーケットプレイスに偽装スキルや低品質なサンプルを大量に送り込むことが可能になっています。
翻訳元: https://cyberpress.org/clawhub-skills-infect-agents/
