Silverfort研究者は最近、OpenClawエージェントエコシステムの主要な公開レジストリであるClawHubで重大なセキュリティ欠陥を発見しました。
この脆弱性により、攻撃者は不正にダウンロード数を増加させ、悪意のあるコードを検索結果の上位に押し出すことができました。
これは世界中の数千台のコンピュータで危険なコードを実行できる脅威を与える可能性のある、大規模なサプライチェーンリスクを作成しました。
ClawHubはOpenClawエージェント用のアプリストアのように機能し、ユーザーがGoogle Calendarなどのサービスに接続するスキルをインストールできるようにしています。
その人気が急速に成長するにつれて、このプラットフォームは悪意のある攻撃者にとって非常に魅力的なターゲットになりました。
ClawHubのようなプラットフォームでは、信頼は主に社会的証拠に基づいており、つまり人々はダウンロード数が多いパッケージをインストールする傾向があります。
Convex RPCの欠陥
根本的な問題は、リモートプロシージャコールモデルに依存するConvexバックエンドフレームワークを使用してClawHubがどのように構築されたかから生じました。
開発者はシステムセキュリティを確保するために、内部関数と公開関数を慎重に分離する必要があります。
彼らの研究中に、Silverfortチームはdownloads.tsという名前のファイルで重大なミスを発見しました。そこでは、プライベート関数が公開されていました。
通常、ユーザーがスキルをダウンロードするとき、システムはレート制限と重複リクエストをチェックして悪用を防ぎます。
increment関数が誤って公開されたため、攻撃者はこれらすべての防御的なセキュリティチェックを完全にバイパスできました。
単一のウェブリクエストで、誰でもこの関数を無限にトリガーして、任意のスキルのダウンロードカウンターを制限なく増加させることができました。
この急速なインフレーションにより、彼らの偽スキルは瞬時にその特定のカテゴリの第1位に押し上げられました。
偽の人気は完璧に機能し、わずか6日間で世界中の50都市で3,900の実行につながりました。
これらの実行はいくつかの公開企業内で発生し、基本的なユーザー名とドメイン名を研究者に送り返していました。
実際の攻撃者は、この正確な方法を簡単に悪用して機密パスワード、ローカルファイル、またはメモリトークンを盗むことができたでしょう。
この脆弱性の危険性は、人間のユーザーが不適切なインストール選択をすることをはるかに超えています。
OpenClawエージェントは、高いダウンロード数に大きく依存して、最高のスキルを自律的に検索してインストールするように設計されています。
研究者がAIエージェントにメール管理ツールを見つけるよう求めたとき、それはトップランキングだけを理由に独立して悪意のあるスキルを選択しました。
迅速な修正と予防
Silverfortは責任を持ってこの問題をOpenClawチームに報告し、リード開発者Peter Steinbergerは24時間以内に永続的な修正をデプロイしました。
将来の攻撃を防ぐために、SilverfortはOpenClawエージェント用のオープンソースセキュリティプラグインであるClawNetをリリースしました。
このプラグインはインストールリクエストをインターセプトし、AIの言語モデルを使用して、新しいスキルがインストールされる前に悪意のあるコードをスキャンします。
ClawHubのコードベースは、迅速な開発を可能にするが、多くの場合、構造化されたセキュリティ実践が欠けているメソッドであるvibe-codingに大きく依存していました。
AIツールは迅速に優れたシステムを構築できますが、小さな実装エラーをキャッチするには人間の監視が不可欠です。
このインシデントは、バックエンド基盤における小さな設定ミスが壊滅的なセキュリティの結果につながる可能性があることを証明しています。
AIエージェントは、従来の人間ユーザーと同じレベルのセキュリティコントロールが必要なアイデンティティの新しいクラスを表しています。
すべての自動化されたエージェントは、特定の人間の所有者にマップされる必要があり、それが何をできるかを正確に定義する厳格なアクセスポリシーが必要です。
これらの境界を実装することにより、エージェントが自律的な意思決定を通じて攻撃面を不注意に拡大しないことが保証されます。
翻訳元: https://gbhackers.com/clawhub-vulnerability/
