急速に成長するOpenClawエコシステムの信頼を悪用して、Silverfortの研究者はClawHubスキルマーケットプレイスの重大な欠陥を公開しました。この欠陥により、攻撃者はダウンロード数ベースのランキングを操作して、悪意のあるスキルをそのカテゴリーの1位に押し上げることができました。
このロジック欠陥を悪用することで、敵対者はバックドアされたスキルを非常に人気があり信頼できるものに見えるようにすることができ、大量採用を促進して、単一のパッケージをOpenClawエージェント全体にわたる大規模なサプライチェーン攻撃の開始点に変えることができました。
ClawHubはOpenClawの公開スキルレジストリであり、誰でもカレンダー管理、メールワークフロー、ウェブ検索などの統合機能を持つスキルを公開できます。
多くの公開レジストリと同様に、ユーザーとエージェントはしばしば高いダウンロード数を安全性と同じと見なし、どのスキルをインストールするかを決定する際に人気を主要な信頼シグナルとして使用します。
この設計により、ClawHubは混雑したマーケットプレイスに悪意のあるパッケージを植え付けた後、「社会的証明」に頼って感染を拡大させようとする攻撃者にとって特に魅力的になりました。
Silverfortの研究によると、ClawHubのダウンロード追跡ロジックはIPとユーザーごとにレート制限と重複排除を実施しようとしていたため、1時間以内の繰り返されたリクエストは統計を水増しすることはありませんでした。
しかし、オープンソースコードの詳細な分析により、これらの保護をすべてバイパスし、内部専用関数ではなく公開RPC エンドポイントとして公開されていた別のdownload.increment変更が明らかになりました。
この関数には認証、レート制限、および権限チェックがなかったため、スキルIDとデプロイメントURLを知っている誰もが自動化されたリクエストでダウンロード数を任意に増やすことができました。
影響を実証するため、研究者は一見正当な「Outlook Graph Integration」スキルを作成し、OpenClawエージェントが会議をスケジュールしてメールを管理するのを支援するものとして宣伝しました。
内部には低影響のデータ流出ペイロードが隠されており、実行されるとクライアントのユーザー名と完全修飾ドメイン名を収集し、制御されたサーバーに送信しました。概念実証では軽微でしたが、トークン、環境変数、または機密ファイルの収集に簡単に拡張できました。
悪意のあるスキルが公開されると、チームはさらされたdownloads.increment関数への呼び出しをスクリプト化し、統計バックエンドをフラッド攻撃して、数万個の偽のダウンロードでパッケージをそのカテゴリーの検索結果の最上位に急速に押し上げました。
水増しされた数字がスキルをそのユースケースの事実上の標準に見えるようにしたら、実際のユーザーとOpenClawエージェントは大規模でそれをインストールして実行し始めました。
わずか6日間で、このスキルは世界中の50以上の都市で約3,900回実行され、複数の上場企業内を含めて、各実行は静かに基本的なアイデンティティデータを流出させました。
OpenClawエージェントはしばしば高い権限で実行され、人間のオペレーターに代わって機能するため、より積極的なペイロードはこれをより損害の大きい妥協パスに変え、認証情報の盗難と環境偵察にわたります。
この脆弱性は特に危険でした。OpenClawエージェント自体がスキルを自律的に選択する際にClawHubのランキングシグナルに頼るためです。
メールとカレンダータスクを管理するための「最良の」ツールを見つけるよう指示されると、エージェントはCLIを介してClawHubに相談し、意味的な説明と内部スコアを含むパラメータを重視して、最終的には悪意のあるパッケージを支持しました。その理由は、その水増しされたダウンロード数が最高スコアを与えたためです。
これは、自動化された意思決定パイプラインがいかに盲目的に操作されたメトリクスを強化し、AIエージェントに攻撃者が信頼させたいスキルを正確に推奨してインストールさせることができるかを示しています。
Silverfortの分析はまた、より広いアーキテクチャの教訓を強調しています。ConvexなどのRPC中心のバックエンドは、公開関数の周りに厳密なセキュリティ境界が必要です。
この場合、内部ヘルパーとしての目的で意図された関数が誤って公開変更として公開され、アクセス制御なしにデプロイメントURLを介して直接呼び出し可能でした。これはConvexの独自のガイダンスに違反しており、すべての公開関数は明示的な認可を実施する必要があります。
バックエンドロジックとネットワーク公開が緊密に結合されている場合、このような間違いは簡単に導入できます。特に構造化されたセキュリティレビューよりも速度を優先する急速に進化する「vibe‑coded」プロジェクトではそうです。
研究者によると、メンテナーは迅速に対応し、約24時間以内に修正を配信して、さらされたインクリメントパスを閉じ、本番環境のダウンロードロジックを強化しました。
脆弱性は以来修正されており、ダウンロード数を信頼増幅ベクトルとして悪用されるのを防いでいます。ただし、より広いエコシステムにおける過去の操作は、評判ベースのメトリクスがいかに脆弱であるかを強調しています。
OpenClawユーザーが悪意のあるスキルに対してエージェントを強化するのを支援するために、SilverfortはオープンソースセキュリティプラグインであるClawNetをリリースしました。このプラグインはスキルインストールフローをインターセプトし、ローカルLLMを使用してSKILL.mdコンテンツとスクリプトをインストールを許可する前に疑わしいパターンについてスキャンします。
通常のスキルではなくプラグインとして実装されたClawNetは、OpenClawエージェントループに直接統合されるため、そのチェックはモデルの動作によって静かにスキップできず、ClawHubマーケットプレイスで信頼できないまたは改ざんされたスキルに対するランタイムガードレールを提供します。
翻訳元: https://cyberpress.org/clawhub-vulnerability/