Koi Securityの発表によると、ClawHub上の2,857のスキルに対するセキュリティ監査で、複数のキャンペーンにわたる341の悪意のあるスキルが発見され、ユーザーは新たなサプライチェーンリスクにさらされることになった。
ClawHubは、OpenClawユーザーがサードパーティ製スキルを簡単に見つけてインストールできるように設計されたマーケットプレイスである。OpenClawは、かつてClawdbotおよびMoltbotとして知られていた、自己ホスト型の人工知能(AI)アシスタントであるOpenClawプロジェクトの拡張機能である。
KoiがOpenClawボット「Alex」の協力を得て実施した分析によると、335個のスキルが偽の前提条件を利用して、Atomic Stealer (AMOS) というApple macOSスティーラーをインストールしていることが判明しました。この一連の活動は「ClawHavoc」というコードネームで呼ばれています。
「solana-wallet-trackerやyoutube-summarize-proなど、一見正規のスキルに見えるものをインストールします」とKoiの研究者、Oren Yomtov氏は述べています。「スキルのドキュメントはプロフェッショナルな作りになっています。しかし、『前提条件』のセクションに、最初に何かをインストールする必要があると記載されています。」
この手順はWindowsとmacOSの両方のシステムで行われます。Windowsの場合、ユーザーはGitHubリポジトリから「openclaw-agent.zip」というファイルをダウンロードするように求められます。 macOS版のドキュメントでは、glot[.]ioでホストされているインストールスクリプトをコピーしてターミナルアプリに貼り付けるよう指示されています。macOSが標的になっているのは偶然ではなく、AIアシスタントを24時間365日稼働させるためにMac miniを購入する人がいるという報告がhttps://www.businessinsider.com/clawdbot-ai-mac-mini-2026-1これは、別のIPアドレス(「91.92.242[.]30」)にアクセスして別のシェルスクリプトを取得することを意味します。このスクリプトは、同じサーバーに接続して汎用Mach-Oバイナリを取得するように設定されており、このバイナリは、macOSホストからデータを収集できる、月額500~1000ドルで入手可能な汎用窃盗マルウェア「Atomic Stealer」と一致する特性を示します。
Koi氏によると、悪質なスキルは以下のようなものを装っている。
- ClawHubのタイポスクワット(例:clawhub、clawhub1、clawhubb、clawhubcli、clawwhub、cllawhub)
- Solanaウォレットやウォレットトラッカーなどの仮想通貨ツール
- Polymarketボット(例:polymarket-trader、polymarket-pro、polytrading)
- YouTubeユーティリティ(例:youtube-summarize、youtube-thumbnail-grabber、youtube-video-downloader)
- 自動アップデートツール(例:auto-updater-agent、update、updater)
- 金融およびソーシャルメディアツール(例:yahoo-finance-pro、x-trends-tracker)
- Gmail、カレンダー、スプレッドシート、ドライブとの連携を謳うGoogle Workspaceツール
- イーサリアムガストラッカー
- 紛失したビットコインを探すツール
さらに、サイバーセキュリティ関連のツールも存在する。同社は、機能コード内にリバースシェルバックドアを隠蔽するスキル(例:better-polymarket、polymarket-all-in-one)や、「~/.clawdbot/.env」に存在するボット認証情報をウェブフックサイトに漏洩させるスキル(例:rankaj)を特定したと発表した。
[
] (https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhdUIlSL9qpCVbfy1TNUn-HizuE9n6MdFG5YHsHFM9xPa-VGEUo9aaIOAYFIngxa3eySnljrSlNEswxcdWoqbVIa1r2QMMl6PKzfprbnsb-8Gr4wIa-CElQxwA-lufP6EutwkSLX5Zh-C-3-KiLa61nzkZF1nIw3_CVdEQ290WxL7gAXniTyHy2c5irJ_be/s1700-e365/skill-malware-2.png)
この動きは、OpenSourceMalwareがOpenClawユーザーを標的とした同じClawHavocキャンペーンを報告したのと同時期に発生しました。
「これらのスキルは仮想通貨取引自動化ツールを装い、macOSおよびWindowsシステムに情報窃盗マルウェアを送り込みます」と、オンライン上のニックネーム「6mile」で知られるセキュリティ研究者のポール・マッカーティ氏は述べています(https://opensourcemalware.com/blog/clawdbot-skills-ganked-your-crypto)。
「これらのスキルはすべて同じコマンド&コントロールインフラストラクチャ(91.92.242.30)を共有し、高度なソーシャルエンジニアリングを用いてユーザーに悪意のあるコマンドを実行させ、取引所のAPIキー、ウォレットの秘密鍵、SSH認証情報、ブラウザのパスワードといった仮想資産を盗み出します。」
OpenClawに報告機能を追加
問題の根源は、ClawHubがデフォルトでオープンな状態であり、誰でもスキルをアップロードできる点にあります。現時点での唯一の制限は、パブリッシャーが少なくとも1週間経過したGitHubアカウントを持っている必要があるという点です。
悪意のあるスキルの問題は、OpenClawの開発者であるPeter Steinberger氏によって見過ごされることなく、ログインユーザーがスキルを報告できる機能をリリースしました。 「各ユーザーは同時に最大20件のアクティブなレポートを保持できます」とドキュメントには記載されています(https://docs.openclaw.ai/tools/clawhub#security-and-moderation)。「3件を超える固有のレポートを持つスキルは、デフォルトで自動的に非表示になります。」
この調査結果は、オープンソースのエコシステムが脅威アクターによって悪用され続けている現状を浮き彫りにしています。脅威アクターは、OpenClawの急激な人気に乗じて、悪意のあるキャンペーンを組織し、マルウェアを大規模に拡散させています。
先週のレポートで、パロアルトネットワークスは、OpenClawが、プロンプトインジェクションという用語を生み出した英国のプログラマー、サイモン・ウィリソン氏が「致命的な三位一体」と呼ぶもの(https://simonwillison.net/2025/Jun/16/the-lethal-trifecta/)に該当すると警告しました。これは、AIエージェントがプライベートデータへのアクセス、信頼できないコンテンツへの曝露、外部との通信能力を持つことで、設計上脆弱になるというものです。
サイバーセキュリティ企業であるパロアルトネットワークスは、これら3つの機能とOpenClawの永続メモリが組み合わさることで、「攻撃を加速させる」効果を発揮し、リスクを増幅させると指摘した。
「永続メモリによって、攻撃はもはや特定の時点における攻撃にとどまらず、状態を保持し、実行が遅延する攻撃へと変化します」と、研究者のSailesh Mishra氏とSean P. Morgan氏は述べている(https://www.paloaltonetworks.com/blog/network-security/why-moltbot-may-signal-ai-crisis/)。「悪意のあるペイロードは、配信時に即座に実行される必要はなくなりました。代わりに、断片化された信頼できない入力として、単体では無害に見えるものが、エージェントの長期メモリに書き込まれ、後で実行可能な命令セットに組み立てられるのです。」
「これにより、時間差を利用したプロンプト注入、メモリ汚染、およびロジックボム型の起動が可能になります。ロジックボムとは、エクスプロイトが取り込み時に作成されるものの、エージェントの内部状態、目標、またはツールの�利用可能性が一致した場合にのみ爆発する攻撃手法です。」