2026年2月2日、セキュリティ企業Koi Securityは衝撃的な調査結果を発表した。急成長中のAIアシスタントOpenClawのスキルマーケットプレイスClawHubで、341個もの悪意あるスキルが発見されたのだ。24時間365日働き続けるAIエージェントの便利さの裏側で、暗号資産や認証情報を狙う「時間差攻撃」が静かに進行していた。
Koi SecurityはClawHub上の2,857個のスキルに対してセキュリティ監査を実施し、341個の悪意あるスキルを発見した。そのうち335個は偽の前提条件を使用してAtomic Stealer(AMOS)と呼ばれるmacOSスティーラーをインストールする。この活動はClawHavocと命名された。
ClawHubはOpenClawユーザー向けのサードパーティスキルマーケットプレイスである。OpenClawは旧称ClawdbotおよびMoltbotとして知られるセルフホスト型AIアシスタントだ。悪意あるスキルは暗号通貨ツールやYouTubeユーティリティなどを装い、WindowsとmacOSの両システムを標的とする。すべてのスキルは91.92.242[.]30という同一のコマンド&コントロールインフラを共有している。
OpenSourceMalwareも同じキャンペーンを報告した。OpenClawの作成者ピーター・スタインバーガーは報告機能を追加し、3件以上の報告があるスキルはデフォルトで自動非表示となる。
From: 
Researchers Find 341 Malicious ClawHub Skills Stealing Data from OpenClaw Users
【編集部解説】
今回発覚したClawHavocキャンペーンは、AIエージェント時代における新種のサプライチェーン攻撃として注目に値します。2,857個中341個という発見率は約12%に達し、これはオープンなマーケットプレイスのセキュリティ体制が追いついていない現実を物語っています。
OpenClawは2026年1月に急速に人気を集めたセルフホスト型AIアシスタントです。旧称ClawdbotやMoltbotとして知られていましたが、24時間365日稼働させるためにMac Miniを購入するユーザーまで現れ、Business InsiderやMashableでも報じられました。この人気の急上昇が、攻撃者にとって格好の標的となったわけです。
特筆すべきは、攻撃手法の巧妙さにあります。悪意あるスキルは「Prerequisites(前提条件)」という一見正当なセクションを設け、ユーザーに外部ファイルのダウンロードやスクリプトの実行を促します。solana-wallet-trackerやyoutube-summarize-proといった実用的な名称を装い、ドキュメントもプロフェッショナルな体裁を整えているため、ユーザーは疑いを持ちにくい構造になっています。
macOSが標的の中心となった背景には、暗号資産コミュニティでのMac利用率の高さがあります。Atomic Stealerは月額500〜1000ドルで入手可能なコモディティマルウェアで、MetaMaskの秘密鍵やブラウザ保存の認証情報、さらにはElectrum、Binance、Exodusなどの暗号ウォレットデータを標的とします。
この事案で最も深刻なのは、AIエージェント固有の脆弱性が悪用された点です。Palo Alto Networksは、OpenClawがプロンプトインジェクションの専門家サイモン・ウィリソンの言う「致命的な三要素」を体現していると警告しました。プライベートデータへのアクセス、信頼できないコンテンツへの露出、外部通信能力の三つが交差する環境です。
さらに永続的メモリの存在が「促進剤」として機能します。従来の攻撃は実行時点での悪用に限定されていましたが、AIエージェントのメモリに悪意ある命令を注入することで、時間差での攻撃が可能になります。Unit 42の研究では、メモリポイズニングによって注入された命令が複数のセッションにわたって持続し、エージェントの内部状態や目標が揃った瞬間に「爆発」するロジックボム型攻撃が実証されています。
ClawHubの構造的問題も見逃せません。現状では1週間以上経過したGitHubアカウントさえあれば誰でもスキルを公開できる仕組みです。創設者のピーター・スタインバーガーは報告機能を追加し、3件以上の報告で自動非表示になる対策を講じましたが、これは事後対応に過ぎません。
Cisco Talosは、OpenClawのようなパーソナルAIエージェントを「セキュリティの悪夢」と評しています。企業環境での無許可使用も報告されており、従来のDLPやプロキシ、エンドポイント監視では検知できない経路でデータが流出する可能性があります。
今回の事案は、AIエージェント時代における新たなセキュリティパラダイムの必要性を示唆しています。自律性と利便性を追求するあまり、セキュリティが後回しにされた結果がClawHavocキャンペーンの成功につながりました。OpenClaw自身のドキュメントも「完全に安全なセットアップは存在しない」と認めている状況です。
技術の進化速度に対して、セキュリティガバナンスとユーザー教育が追いつかない古典的な問題が、AIエージェントという新領域で再現されたと言えるでしょう。
【用語解説】
ClawHavoc
今回発見された悪意あるスキル配信キャンペーンに付けられたコードネーム。341個の悪意あるスキルを通じて、OpenClawユーザーを標的にAtomic Stealerを配布する一連の攻撃活動を指す。
Atomic Stealer(AMOS)
macOSを標的とした情報窃取型マルウェア。月額500〜1000ドルで購入可能なコモディティマルウェアで、暗号ウォレットの秘密鍵、ブラウザに保存された認証情報、APIキーなどを収集する。
コマンド&コントロール(C&C)インフラ
攻撃者がマルウェアに感染したデバイスを遠隔操作するための通信基盤。今回の事案では91.92.242[.]30というIPアドレスがすべての悪意あるスキルで共有されていた。
タイポスクワット
正規のサービス名やドメイン名に似せた、わずかなスペルミスを含む名称を使って利用者を騙す手法。clawhubをclawhubbやcllawhubと表記するなど。
プロンプトインジェクション
AIモデルに対して、本来意図されていない動作をさせるために悪意ある命令を注入する攻撃手法。AIエージェントの脆弱性として注目されている。
メモリポイズニング
AIエージェントの永続的メモリに悪意ある情報や命令を注入し、後の動作に影響を与える攻撃手法。単独では無害に見える断片的な情報が、時間をかけて実行可能な悪意ある命令に組み立てられる。
ロジックボム型攻撃
特定の条件が揃うまで休眠状態を保ち、条件が満たされた時点で悪意ある動作を開始する攻撃手法。AIエージェントの内部状態や目標が一致したタイミングで「爆発」する。
サプライチェーン攻撃
製品やサービスの供給網に介入し、開発段階や配布段階で悪意あるコードを混入させる攻撃手法。信頼されたチャネルを経由するため、ユーザーが気づきにくい。
コモディティマルウェア
犯罪者向けに商業的に販売されているマルウェア。月額料金やライセンス形式で提供され、技術的知識が乏しい攻撃者でも使用できる。
【参考リンク】
OpenClaw公式サイト(外部)
セルフホスト型オープンソースAIアシスタント。旧称ClawdbotおよびMoltbot。24時間365日稼働可能。
Koi Security公式サイト(外部)
AIセキュリティに特化したサイバーセキュリティ企業。OpenClawボット「Alex」を使って調査を実施。
Palo Alto Networks – Unit 42ブログ(外部)
脅威インテリジェンス部門。AIエージェントの「致命的な三要素」やメモリポイズニング攻撃を研究。
Cisco Talosブログ(外部)
Ciscoの脅威インテリジェンス部門。パーソナルAIエージェントのセキュリティリスクについて警告を発表。
【参考記事】
ClawHavoc: 341 Malicious Clawed Skills Found by the Bot They Were Targeting(外部)
Koi Securityによる調査の原典。OpenClawボット「Alex」を使った2,857個のスキル分析と、341個の悪意あるスキル発見の経緯を詳述。
OpenClaw (formerly Moltbot, Clawdbot) May Signal the AI Crisis(外部)
Palo Alto Networksの分析。OpenClawが持つ「致命的な三要素」とそれがもたらすリスクについて解説。
Personal AI Agents like OpenClaw Are a Security Nightmare(外部)
Cisco Talosによる警告記事。企業環境での無許可使用問題と、従来のセキュリティ手法では検知できないリスクを指摘。
PoC: Memory Manipulation via Indirect Prompt Injection Poisons AI Long-term Memory(外部)
Unit 42の技術実証。メモリポイズニング攻撃のメカニズムと、AIエージェントの永続的メモリが時間差攻撃を可能にする仕組みを詳述。
ATOMIC Stealer: macOS Credential Theft(外部)
Atomic Stealerマルウェアの技術的特性。MetaMask、Electrum、Binance、Exodusなど暗号ウォレットを標的とする手法を説明。
【編集部後記】
わずか1週間前、私たちはOpenClawの急成長と「セキュリティの悪夢」という警告を記事にしました。その時点では、まだ理論的なリスクとして語られていたものでした。
しかし今、その懸念は現実のものとなりました。341個の悪意あるスキル。そして2月3日には、Moltbookでの100万件超の認証情報流出。OpenClawエコシステムをめぐる事案が、ここ数日で立て続けに起きています。
これは偶然ではありません。人気が急上昇したプラットフォームは、必ず攻撃者の標的になります。そして今回特に深刻なのは、AIエージェントという新しい領域であるがゆえに、私たちの「危機察知能力」がまだ十分に育っていないことです。
「Prerequisites(前提条件)」というセクションを見て、疑いを持てるでしょうか。プロフェッショナルなドキュメントを前に、立ち止まれるでしょうか。
皆さんがすでに使っているAIツールは、本当に安全ですか?この問いを、今一度、ご自身に投げかけていただければと思います。
がもたらす「アンテザード・ソサエティ」の衝撃-300x200.png)
