OpenClawは、ClawHubスキル・マーケットプレイスにVirusTotalを統合することで、急成長するエージェント・エコシステム全体のセキュリティ強化に乗り出しました。
この変更は、数百の悪意あるスキルが検知されないまま流通していたという報告を受けたものです。
「私たちは…Code Insight分析のためにスキル一式を丸ごとアップロードし、既知のシグネチャとの照合だけではなく、AIがスキルの挙動を完全に把握できるようにしています」と、提携に関する投稿でOpenClawは述べています。
エージェントのサプライチェーンにおけるセキュリティギャップ
OpenClawの急速な普及により、エージェント型AIはニッチな実験段階を超え、日常の業務ワークフローへと入り込みました。多くの場合、正式なITレビューやセキュリティ承認を経ずに、従業員のエンドポイントへ直接導入されています。
ClawHubを通じて、ユーザーはエージェントの能力を大幅に拡張する「スキル」をインストールできます。これには、ローカルファイルの管理、クラウドサービスとの連携、デバイス制御、認証情報の取り扱いなどが含まれます。
実際には、これらのスキルはサードパーティのコードに深く永続的なシステムアクセスを与え、最小限の監督のもとで自律的なソフトウェアコンポーネントを企業環境内に実質的に組み込むことになります。
その拡張された能力は、攻撃対象領域も広げました。
悪意あるスキル
独立したセキュリティ分析により、ClawHubマーケットプレイスに公開されたスキルの数百件が悪意ある挙動を隠していたことが判明しています。
確認された悪用事例には、密かなデータ流出、プロンプト注入のバックドアの埋め込み、インストール後に作動するよう設計された段階的なマルウェア配布が含まれていました。
エージェントは自然言語と自動化されたツール実行を通じて動作するため、これらのスキルは従来のエンドポイント保護やデータ損失防止(DLP)制御を回避し、正当な自動化を装って静かに動作し得ます。
OpenClawのVirusTotalスキャンの仕組み
VirusTotalとの提携により、OpenClawはエコシステム内のサプライチェーンリスク低減を目的としたマルウェアスキャンのワークフローを導入しました。
ClawHubにアップロードされる各スキルはSHA-256でハッシュ化され、VirusTotalの脅威インテリジェンス・データベースと照合されます。
ハッシュが未知の場合、スキルバンドルはVirusTotal Code Insightを用いたより詳細な検査のために自動送信されます。
結果に基づき、無害(benign)と分類されたスキルは利用が承認され、疑わしい投稿には警告が付与され、悪性が確認されたスキルは完全にブロックされます。
OpenClawはまた、既存の全スキルを毎日再スキャンし、以前はクリーンだったコードが時間の経過とともに悪性化するケースを検出すると述べています。
マルウェアスキャンで検出できるもの/できないもの
このプロセスは一般的なマルウェアや既知の脅威に対するハードルを引き上げる一方で、OpenClawはその本質的な限界も認めています。
シグネチャベースおよび静的解析の手法は、既知の悪性バイナリや疑わしいコードパターンの特定に適していますが、エージェント特有のリスクの多くは、そもそも従来型のマルウェアに起因しません。
代わりに、間接的なプロンプト注入や言語ベースの操作から生じます。これは、コードが明示的に何をするかではなく、エージェントが信頼できない入力をどのように解釈し行動するかを悪用する攻撃です。
文書、Webページ、チャットメッセージに隠された指示は、静的スキャンでは検出されにくい形でエージェントの挙動に影響を与え得ます。
OpenClawエコシステム全体における、より深刻なセキュリティギャップ
VirusTotal統合は、OpenClawエコシステム全体に存在するより深い構造的セキュリティギャップを指摘する研究が増える中で実施されました。
研究者は、間接的なプロンプト注入によって攻撃者が永続的なバックドアを埋め込み、認証情報ファイルを流出させ、あるいは外部サーバーからのコマンドを待ち受ける休眠状態の「リスニング」状態にエージェントを置くことが可能になるシナリオを実証しています。
追加の調査結果では、安全でないデフォルト設定、機密トークンの平文保存、全ネットワークインターフェースで公開されたAPI、認証データを大量に漏えいさせた設定不備のクラウドバックエンドなどが指摘されています。
本番環境におけるエージェント型AIのセキュリティ確保
エージェント型AIツールが日々の業務に組み込まれるにつれ、組織は実験的な導入から、意図的なガバナンスへと移行する必要があります。
これらのシステムは、自律性、機密データへのアクセス、外部接続性を併せ持ち、従来のエンドポイントおよびアプリケーション制御が想定していなかったリスクプロファイルを生み出します。
そのリスクを管理するには、エージェントとそのスキルを第一級のソフトウェア資産として扱い、明確な承認、監視、封じ込め戦略を設けることが必要です。
- エージェント型ツールがどこに展開されているかを棚卸しし、各環境で許可するスキルと機能を明示的に承認する。
- バージョン追跡、整合性チェック、定期的なセキュリティレビューを徹底することで、エージェントのスキルをソフトウェア依存関係として扱う。
- システム全体へのアクセスを制限し影響範囲(blast radius)を縮小するため、コンテナベースのツールサンドボックス化などの分離制御を有効化する。
- エージェントのネットワーク外向き通信(egress)と認証情報のスコープをデフォルトで制限し、承認済みの宛先と短命な最小権限トークンのみを許可する。
- 信頼できない入力によって引き起こされる異常なファイルアクセス、外向き接続、認証情報の使用などを含め、異常なエージェント挙動を監視する。
- 悪意ある、または悪用されたスキルを迅速に封じ込めるため、明確な社内およびプラットフォームレベルの報告と削除(takedown)ワークフローを確立する。
- 迅速な認証情報の失効、エージェントの隔離、復旧手順を含め、エージェント悪用シナリオに対するインシデント対応計画をテストする。
総合的に見て、これらの手順は、エージェント型ツールが約束する生産性向上を活かしつつ、組織の露出を低減するのに役立ちます。
エージェント型AIのリスク
OpenClawのVirusTotal統合は、マーケットプレイスにおける明白な悪用を減らすうえで有意義な一歩ですが、自律的で言語駆動のシステムがもたらすより深いリスクを解消するものではありません。
エージェント型AIがユーザーの意図と実行の境界をますます曖昧にする中で、セキュリティ制御はマルウェア検出を超え、プロンプト、権限、信頼境界を通じた操作も考慮する必要があります。
明確なガバナンス、監視、分離制御を用いて、エージェントを特権ソフトウェアとして管理する組織は、リスクを適切に封じ込めながらエージェントの利点を実現しやすくなります。
そうした信頼境界は、アクセス、権限、意図を継続的に検証する必要性へと直結します。これはゼロトラストの中核原則です。
翻訳元: https://www.esecurityplanet.com/threats/openclaw-adds-virustotal-scanning-to-ai-agent-marketplace/
