AIエージェントのエコシステムにおいて、過去最大規模のサプライチェーン侵害が発生しました。OpenClawの公式スキルマーケットプレイスであるClawHubに、ClawHavocが爆発的な被害をもたらしたのです。
AIG搭載スキャンにより約50,000件のClawHubスキルを全件調査した結果、12の侵害された発行者アカウントに紐づく悪意あるパッケージが1,184件発見され、247,693件のインストールが確認されました。
この攻撃キャンペーンは、タイポスクワッティング、ランキング操作、多段階ペイロード配信を組み合わせ、認証情報の窃取、秘密情報の外部流出、暗号資産を盗むマルウェアの展開を実行しました。エンドユーザーはもちろん、自動エージェントにさえも気づかれることなく行われていた点が大きな特徴です。
ClawHavocが際立った効果を発揮できた背景には、エージェント時代における2つの構造的な現実があります。スキルは広範なローカル権限で実行されること、そしてマーケットプレイスでは人気度が高く評価されることです。
攻撃者は「Google Assistant Pro」や「YouTube Summarize Pro」といった名称を騙った偽ツールを、説得力のあるドキュメントとともに公開しました。これらのツールには、SSHキーを抜き出すMarkdownの指示や、AMOSトロイの木馬を展開するシェルスクリプトが埋め込まれていました。
ピーク時には、ダウンロード数上位7件のうち5件が悪意あるものでした。ダウンロード数の多いスキルを優先する自動エージェントが、敵対的な機能を自律的にインストール・実行してしまい、コードの難読化なしに大規模な汚染を可能にしていたのです。
静的パターンマッチングやシグネチャベースの検査により、第一波の多くのサンプルが検出されました。ClawHubも迅速に多層型検知スタックを展開しています。正規表現による静的スキャン、SKILL.mdへの注入シグナル検出、メタデータと宣言済み権限に対するLLMベースのセキュリティ評価、VirusTotalチェックなどです。
これらの制御により明示的な脅威の多くが除去されましたが、AIG分析によって攻撃者の手法がすでに進化していることが明らかになりました。
ClawHavocによるClawHub攻撃の詳細
テキストに悪意あるコマンドを直接埋め込む手法から脱却し、攻撃者はC2が制御する隠蔽されたペイロード、多層エンコードチェーン、そして安全でないデシリアライズ技術へと移行しました。これらの手法は個別に見れば無害に見えますが、組み合わさると完全なリモートコード実行チェーンを形成します。
Tencentの報告によると、ClawHubの防御をくぐり抜けた典型的な事例があります。プロフェッショナルなドキュメントと妥当に見えるパーミッション要求を備え、「分散型ステート復旧ツール」を装ったスキルがそれです。
このスキルは実行時にリモートC2からシリアライズされたペイロードをダウンロードし、連鎖したデコード手順(Base64、ROT13、16進数など)でバイトコードを再構成したうえで、Pythonのpickleデシリアライズを呼び出して任意コード実行を達成していました。
命令はC2が完全に制御するため、スキルのリポジトリには明示的な悪意あるコマンドは一切含まれておらず、リモートの指令に従うための「仕組み」のみが存在する構造でした。
AIGは「リモートフェッチ→チェーンデコード→デシリアライズ」という一連の流れを横断的に推論することでこれを検出しました。シグネチャ単独では見逃してしまう高リスクの攻撃チェーンを特定することに成功したのです。
ClawHavocはマーケットプレイスの仕組みも巧みに悪用しました。3月にSilverfortは、認証なしでダウンロード数を水増しできるバックエンドの脆弱性を公開しています。
研究者たちは、攻撃者がスキルのランキングを最上位に押し上げ、エージェントの自動インストール挙動と組み合わせることで、多数のエージェントインスタンスにわたって侵害を拡大できることを実証しました。
このランキング操作という攻撃ベクターは、人気度そのものを武器に変えます。高い可視性を確保さえすれば、悪意あるパッケージはコードレベルでの隠蔽を必要としないのです。
エコシステム全体のデータは厳しい現実を示しています。スキャンした約50,000件のスキルのうち27,818件がネットワーク権限を宣言しており、4件に3件はインターネットにアクセスできる状態です。
開発者数は15,427名ですが、上位20アカウントがコンテンツ全体の12.9%を占めており、数週間のうちに数百件のスキルを投稿したアカウントも存在しています。テンプレートを活用した大量生産の傾向が見て取れます。
スキャンにより、29,196のドメインにわたる246,378件のURLが確認され、C2通信やデータ流出のためのチャネルが豊富に存在することが明らかになりました。独立した監査(SkillProbe、Snyk)、およびOWASPの2026年4月版「Agentic Skills Top 10」はいずれも同じ結論に至っています。スキルはプラットフォームを横断してリスクが連鎖する、新たかつ体系的な攻撃対象領域だということです。
対策には多層防御が求められます。マーケットプレイスにおける出所検証の強化とレート制限、シグネチャだけに頼らない振る舞いベースのチェーン推論、スキルの権限モデルの厳格化、そして自律的なインストールを制限するエージェント側のポリシー制御が必要です。
ClawHavocの事案は一つの転換点です。マーケットプレイスとプラットフォームは、数量や人気度が武器化されうること、そして将来の攻撃は複数の無害に見えるコンポーネントに分散して隠蔽されることを前提として、対策を講じなければなりません。
翻訳元: https://gbhackers.com/clawhavoc-attack-hits-clawhub/
