AI自体は武器化されていませんが、この技術は広いシステムアクセス権を持つAIエージェントについての懸念を提起しています。
新しいセキュリティバイパスにより、ユーザーは意図していたかどうかに関わらず、AIエージェントOpenClawをインストールしています。
研究者たちは、侵害されたnpm公開トークンが、広く使用されているClineコマンドラインインターフェース(CLI)の悪意のあるpostinstallスクリプトを含む更新をプッシュしたことを発見しました。そのスクリプトは、野生的に人気のある、しかし次第に非難される、エージェンティックアプリケーションOpenClawを疑いを持たないユーザーのマシンにインストールします。
OpenClawが広いシステムアクセス権を持ち、WhatsApp、Telegram、Slack、Discord、iMessage、Teams、およびその他のメッセージングプラットフォームとの深い統合を持っているため、これは非常に危険です。
セキュリティプラットフォームSocketの調査によると、スクリプトはレジストリで8時間オンラインでした。
この場合、OpenClawは本質的に悪意のあるものではなかったことを強調すべきです。しかし、それはOpenClawの不安定なセキュリティの物語のもう1つの章を表しており、このような状況は「潜在的に不要なアプリケーション」(PUA)ステータスを獲得する可能性があります。
「つまり、彼らは実質的にOpenClawをEDR [エンドポイント検出応答]が停止しないマルウェアに変えました」とBeauceron SecurityのDavid Shipleyは述べました。それは「非常に不誠実で、恐ろしいほど素晴らしい」です。
ユーザーはOpenClawが好きです。攻撃者もです。
OpenClaw(以前はClawdbotとMoltbot)は、1月29日にリリースされた無料のオープンソースの自律AIエージェントで、ほぼ直後にバイラルになりました。その開発者であるPeter Steinbergerによると、そのリポジトリは1週間で200万人以上の訪問者がありました。また、週に720,000回ダウンロードされていると推定されています。
OpenClawはクラウドではなく、ユーザーのハードウェア上でローカルに実行され、メール読み取り、ウェブページの閲覧、アプリ実行、カレンダー管理など、ユーザーに代わって自律的な現実世界のアクションを実行できます。
しかし、リリースの直後に、それは重大なセキュリティの問題を引き起こしました。プロンプトインジェクション攻撃、認証バイパス、サーバー側リクエスト偽造(SSRF)など、その他の攻撃の対象になりやすいです。多くの企業は、AIエージェントを厳しく制限するか、完全に禁止することで対応しました。
Clineの状況では、それはただインストールされたが、本質的に悪意のあるものではなかったが、「攻撃者は何でもインストールする能力を持っていた」と、SocketのSarah Goodingは書きました。「今回はOpenClawでした。次回は何か悪意のあるものかもしれません。」
Cline CLIは開発者エコシステム全体で広く使用されており、npmから約90,000の週間ダウンロード数があります。侵害されたトークンは、OpenClawの最新バージョンをインストールしたpostinstallスクリプトを含む修正されたpackage.jsonを含む[email protected]をnpmレジストリにプッシュしました。そのスクリプトの追加はパッケージへの唯一の修正でした。そうでなければ、CLIバイナリと他のコンテンツは正当な前回のリリースと同じでした。Goodingが指摘した通り、見落とすのは簡単でした。
侵害されたパッケージは2月17日にプッシュされましたが、根本的な問題はセキュリティ研究者Adnan Khanによって6週間前に発見されていました。パッケージはレジストリでおよそ8時間オンラインのままでした。その後、非推奨となり、Clineは修正版(2.4.0)を公開しました。
Khanは、Clineからのレポートへの応答を得ることができなかったため、2月9日に脆弱なワークフローに関する彼の研究を最初に公開しました。Clineはそれを30分以内に修正しました。しかし、パッチがエントリーポイントを閉じた一方で、トークンは攻撃者の初期偵察中に盗まれた可能性があり、修正が2月17日の公開を防ぐには遅すぎたことを意味しています(結局、それが悪用された日です)。
「Clineは以前のインストールスクリプトを持たなかったため、新しいスクリプトが表示されるのは調査する価値のある異常な信号でした」とGoodingは述べました。Socketは無許可のパブリッシュをマルウェアとしてマークしたことを付け加えました。
2月17日のおおよそ8時間のウィンドウでCline CLIをインストールまたは更新した開発者にとって、Socketは以下を助言しています。
- 最新バージョンに更新してください:npm install “-g cline@latest.”
- バージョン2.3.0の場合は、2.4.0以上に更新してください。
- 意図的にインストールされていない場合は、OpenClawを確認して直ちに削除してください(「npm uninstall -g openclaw」)。
Goodingは「インストール以外に何も自動的に実行されなかった」と述べましたが、リスクがまだあることを付け加えました。「OpenClawは広いシステム権限を持つ有能なエージェンティックツールであり、開発者のマシンに静かにドロップされるべき些細なパッケージではありません。」
勝ちなしのシナリオ
EDR、マネージド検出応答(MDR)、およびその他のセキュリティプロバイダーは、OpenClawをPUAとして、またはShipleyが言ったように「完全にマルウェアとして宣言するよう強制されます。正直に言うと、それはあり得ます」またはこれらの種類の攻撃が勝利します。
「攻撃者にそれを与えるのは嫌ですが、このケースでは、あなたはそうしなければなりません」と彼は言いました。「これが、エージェンティックAIが多くの人々をpwnedにしようとしている理由です。」
最終的には、それは勝ちなしのシナリオであります。Shipleyは指摘しました。特に、OpenClawを企業環境に許可し、それに基づいて業務関連のワークプロセスを構築することは「非常に愚かな」組織がある場合。
彼はこう言いました。「攻撃者は、2026年のサイバーセキュリティの2つの最大のゴミ火災を、npm経由でサプライチェーンハッキングを連鎖させ、OpenClawの煙の熱いバイブコード化されたAIエージェント災害をチェーンすることで、都市規模のランドフィル火災に結合しました。」
