ClawHavocという大規模なサプライチェーン攻撃がOpenClawの公式スキルマーケットプレイスであるClawHubを侵害しました。OpenClawは、ClawdBotとMoltbotとして知られていたオープンソースのAIエージェントです。
研究者たちは、スクリプト、設定、リソースを通じてエージェントの機能を拡張する1,184個以上の悪質な「スキル」プラグイン型パッケージを発見しました。
攻撃者は開発者として登録し、これらの汚染されたアップロードでプラットフォームを埋め尽くし、急速に成長するAIエコシステムをマルウェア配布ハブに変えました。
OpenClawはユーザーがAIエージェントを簡単に拡張できるようにしていますが、このオープン性が裏目に出てしまいました。悪質な作成者たちは「ClickFix」プロンプトのようなソーシャルエンジニアリングの手口を使って、一見正当なスキルの中に脅威を隠していました。
被害者は、ターミナルコマンドをコピーペーストするか、怪しいサイトから「ヘルパーツール」をダウンロードするよう促す「前提条件」セクションを含む、長く信頼できるREADMEまたはSKILL.mdファイルを目にしました。
この自己実行は従来のエクスプロイト検出を回避しました。ユーザーが自分自身でコードを実行したからです。
Antiyはマルウェアを「トロイの木馬/OpenClaw.PolySkill」に分類し、更新されたAVL SDKで検出可能にしています。主要なメトリクスはその規模を示しています。
このキャンペーンは2026年1月27日に最初の悪質なスキルで始まり、1月31日に急増しました。
Koi Securityは2月1日にこれを「ClawHavoc」と名付け、削除を促しましたが、一部のパッケージは残りました。
例えば、偽の「天気アシスタント」スキルはOpenClawの/.clawdbot/.envファイルを盗み、有料のAIサービス用のAPIキーを潜在的に露出させました。
macOSでは、アップグレードされたAtomic macOS Stealer(AMOS)に関連するペイロードが、ブラウザの認証情報、キーチェーン、Telegramのデータ、SSHキー、暗号通貨ウォレットを盗み、圧縮して攻撃者のサーバーに流出させました。
暗号化されたデータブロブには復号化コードが付属していました。その他は偽のパスワードボックスまたはリバースシェル付きのリモートコントロールトロイの木馬を起動しました。これによって、バックドアアクセス、データ窃盗、永続化が可能になりました。
ユーザーはエージェントの広範な権限から実質的なリスクに直面しています。OpenClawの運用者は疑わしいスキルをスキャンし、APIキーとウォレット認証情報をローテーションし、不審なバイナリ、スクリプト、またはウェブフックトラフィックをチェックすべきです。コピーペーストされたコマンド、パスワード保護されたzips、またはファイル共有サイトからのダウンロードは避けてください。
プラットフォーム防御はユーザーレポート以上の対策が必要です。専門家は、パッケージとドキュメントのURLとコマンドをスキャンするための自動静的分析、さらにサンドボックステスト、出版者の評判スコア、およびMITRE ATT&CK T1195(サプライチェーン侵害)に基づく迅速な削除を推奨しています。
この事件はAIエージェントの脆弱性に光を当てています。エコシステムが成長する一方で、簡単な公開がずさんなレビューと組み合わさり、脅威を増幅させています。
ClawHubはクリーンアップ後3,498のスキルに減少しました。しかし、moonshine-100rzeの60個のパッケージと14,285ダウンロードのような残存物は、継続的な危険を示しています。警戒を続けてください:スキルを信頼できないインストーラーのように扱ってください。
翻訳元: https://cyberpress.org/clawhavoc-poisons-openclaws-clawhub-with-1184-malicious-skills/