OpenClawのようなAIエージェントゲートウェイは、数ヶ月前には不可能に思えた未来への入り口のように感じられます。その未来は本当に変革的ですが、非常に具体的な方法でも恐ろしいものです。
OpenClawは一種のファウストの取引により機能しています。ローカルマシン、アプリ、ブラウザセッション、ファイル、そしてしばしば長期的なメモリへの実際のアクセスを持っているため、説得力があります。しかし、このレベルのアクセスは、企業の認証情報を保持しているか、本番システムにアクセスできるマシンで安全に実行する方法がまだ存在していないことを意味しています。
最も重要なことに、OpenClawは一般的に制御されていないAIエージェントのリスクについて私たちに教えてくれます。
平文の問題
OpenClawのメモリと設定は抽象的な概念ではありません。それらはディスク上の予測可能な場所に存在する読み取り可能なファイルです。そして、それらは平文です。
攻撃者がOpenClawを実行するのと同じマシンに侵害した場合、何か特別なことをする必要はありません。最新のインフォスティーラーは共通のディレクトリをスクレイピングし、認証情報、トークン、セッションログ、または開発者設定のように見えるものすべてを流出させます。エージェントが平文のAPIキー、ウェブフックトークン、トランスクリプト、長期的なメモリを既知の場所に保存している場合、インフォスティーラーは数秒でそのすべてを取得できます。
そして残念ながら、OpenClawのようなエージェントエコシステムはユーザーがインフォスティーラーをダウンロードするリスクをさらに高めています。
悪意のあるスキル
OpenClawエコシステムでは、「スキル」はしばしばマークダウンファイルです。エージェントに特定のタスクを行う方法を指示するページです。実際には、マークダウンはエージェントのインストーラーです。
ClawHubを閲覧していると、その時点で最も多くダウンロードされたスキルが「Twitter」スキルであることに気づきました。それは通常のように見えました。深く考えずにインストールするタイプのものです。
しかし、それはマルウェア配信の手段でした。私は最終的なバイナリを安全にダウンロードしてVirusTotalに提出しましたが、評決は明確でした。macOSの情報窃取マルウェアとしてフラグが立てられました。
これはあなたのコンピュータを「感染させる」だけのマルウェアではありません。それはそのデバイス上のすべての価値のあるものを強奪します:
- ブラウザセッションとクッキー
- 保存された認証情報と自動入力データ
- 開発者トークンとAPIキー
- SSHキー
- クラウド認証情報
- アカウント乗っ取りに変換できるその他のもの
問題はOpenClawを超えている
この問題はOpenClawに限られません。多くのエージェントがオープンエージェントスキル形式を採用しており、スキルはSKILL.mdファイルとメタデータを中心としたフォルダで、自由形式の指示が含まれ、スクリプトおよび他のリソースをバンドルすることもできます。OpenAIのドキュメントでさえ、同じ基本的な形式を説明しています。SKILL.mdファイルと必要に応じてスクリプトおよびアセット。
つまり、悪意のある「スキル」はOpenClawだけの問題ではありません。これは同じ標準をサポートするエージェントエコシステムを通じて移動できる配布メカニズムです。
これが通常の認証情報漏洩よりも悪い理由は、文脈です。
単一の盗まれたAPIトークンは悪いです。あなたの人生の重要なサービスについて数百の盗まれたトークンとセッションはさらに悪いです。
しかし、100個の盗まれたトークンとセッション、そしてあなたが誰であるか、何を構築しているか、どのように書いているか、誰と一緒に働いているか、何を気にかけているかについて説明する長期的なメモリファイルは、完全に別のものです。あなたをフィッシングまたは脅迫し、最も近い友人や家族でさえ検出できない方法であなたを完全に偽装するために必要な生の材料です。
企業が今すぐ実施すべきことは何か
OpenClawを試験している場合、会社のデバイスではしないでください。完全に。OpenClawは本質的な制約であるセキュリティを放棄するツールです。プロジェクトのFAQはファウストの取引を明確に提示しています:「完全に安全なセットアップはありません。」
しかし、長期的な答えはエージェントの構築を停止することではありません。答えは、それらの周りに不足している信頼層を構築することです。スキルは出所が必要です。実行は仲介が必要です。権限は具体的で、取り消し可能で、継続的に実装される必要があり、一度与えられて忘れられるべきではありません。
エージェントが私たちに代わって行動する場合、認証情報と機密アクションは実行されるコードによって「掴まれる」ことはできません。それらは仲介され、統治され、リアルタイムで監査される必要があります。
これが次の層が必要な理由です。「スキル」がサプライチェーンになると、唯一の安全な未来は、すべてのエージェントが独自の身元を持ち、現在必要な最小限の権限を持つようになり、アクセスが時間制限、取り消し可能、および属性可能なものになります。
その未来は今日は存在しませんが、それを実現して安全にする仕事はすでに進行中です。1Passwordはそれを可能にする企業であることを決意しています。
翻訳元: https://www.cybersecuritydive.com/spons/how-openclaws-agent-skills-become-an-attack-surface/815635/
