OpenClawのスキルマーケットには、千を超える悪意のあるプラグインが隠されており、SSHキーや暗号通貨ウォレットの秘密鍵を盗む目的で作られていることが明らかになった。AIツールエコシステムにおける「信頼のデフォルト設定」が、Web3において最も過小評価されている攻撃面となっている。
(前提:ブルームバーグ:なぜa16zは米国のAI政策の背後で重要な役割を果たしているのか?)
(補足:アーサー・ヘイズ最新記事:AIは信用崩壊を引き起こし、連邦準備制度は「無限紙幣印刷」を点火し、ビットコインを爆発させる)
目次
慢霧創業者の余弦は、早期にXプラットフォーム上で警告を発した:OpenClawのClawHubスキルマーケットには、約1184個の悪意のあるスキルプラグインが存在し、ユーザーのSSHキーや暗号通貨ウォレットの秘密鍵、ブラウザのパスワードを盗み出し、逆Shellバックドアを構築することも可能だ。最も上位の悪意のあるスキルには9つの脆弱性が含まれ、ダウンロード回数は数千に達している。
再度の注意:テキストはもはやテキストではなく、指示です。AIツールを使う際は独立した環境で…
Skillsは非常に危険⚠️
Skillsは非常に危険⚠️
Skillsは非常に危険⚠️ https://t.co/GZ3hhathkE— Cos(余弦)😶🌫️ (@evilcos) 2026年2月20日
ClawHubは、最近爆発的に注目を集めているOpenClaw(旧称clawbot)の公式スキルマーケットだ。ユーザーはそこにサードパーティの拡張機能をインストールし、AIエージェントにコードの展開からウォレット管理までさまざまなタスクを実行させる。
セキュリティ企業Koi Securityは1月末に、「ClawHavoc」と名付けられた攻撃活動を初めて暴露し、最初に341個の悪意のあるスキルを特定した。その後、独立したセキュリティ研究者とAntiy CERTが調査範囲を拡大し、1184個にまで増加、12のアカウントから公開されている。その中の一人、hightower6euという偽名の攻撃者は、単独で677個のパッケージをアップロードし、総数の半数以上を汚染している。
つまり、一人の攻撃者がマーケットの半分以上の悪意あるコンテンツを汚染しており、プラットフォームの審査機構は全く歯が立っていない。
これらの悪意のあるスキルの手口は粗雑ではない。暗号通貨取引ロボット、Solanaウォレットトラッカー、Polymarket戦略ツール、YouTube要約ツールなどに偽装し、専門的なドキュメントも添付されている。しかし、真の狙いはSKILL.mdファイルの「前提条件」セクションに隠されている。そこには、ユーザーに外部サイトから難読化されたシェルスクリプトをコピーさせ、端末に貼り付けて実行させる指示が記されている。
このスクリプトは、C2サーバーからAtomic Stealer(AMOS)という月額500〜1000ドルのmacOS情報窃取ツールをダウンロードさせる仕組みだ。
AMOSは、ブラウザのパスワード、SSHキー、Telegramのチャット履歴、Phantomウォレットの秘密鍵、取引所APIキー、そしてデスクトップやドキュメントフォルダ内のすべてのファイルをスキャン対象とする。攻撃者はさらに、ClawHubのスペルバリエーション(clawhub1、clawhubb、cllawhub)を登録し、ドメイン詐称を行っている。Polymarketのテーマに関するスキルには、逆Shellバックドアも含まれている。
悪意のあるスキルのファイルには、AIのプロンプト指示も埋め込まれており、OpenClawのエージェントを欺き、AIが逆に「ユーザーに悪意のあるコマンドを実行させる」よう誘導する仕組みだ。余弦はこの状況について、「文字はもはや文字ではなく、指示となる」と一刀両断に述べている。「AIツールを使う際は、独立した環境で行うべきだ。」
これこそが根本的な問題だ。ユーザーがAIの提案を信頼し、その出所が汚染されている場合、信頼の連鎖は断ち切られる。
余弦は同じ警告の中で、もう一つの事例も言及している。DeFiレンディングプロトコルのMoonwellが、2月15日に予言機の誤動作により178万ドルの不良債権を発生させたのだ。
問題は、cbETHのドル価格を計算するコードにあった。そこでは、cbETH/ETHの為替レートにETH/USDの価格を掛けるべきところを忘れ、cbETHを約1.12ドルと誤って設定してしまったため、実際の価格2,200ドルと大きく乖離した。清算ロボットは、cbETHを担保としたポジションを次々に清算し、181人の借り手は約268万ドルの損失を被った。
ブロックチェーンのセキュリティ監査人Krum Pashovは、このコードのGitHubコミット履歴に「Co-Authored-By: Claude Opus 4.6」と記されていることを追跡した。NeuralTrustの分析は、この罠を次のように正確に表現している:「コードは正しそうに見え、コンパイルもでき、基本的なユニットテストも通過しているが、DeFiの対抗環境では完全に失敗している。」
さらに警戒すべきは、人的レビュー、GitHub Copilot、OpenZeppelin Code Inspectorの三つの防衛線も、この欠落した掛け算のステップを見抜けなかったことだ。
この事件は、コミュニティ内で「Vibe Coding時代の重大なセキュリティ事故」と呼ばれている。余弦はこの事例を引用し、Web3の安全脅威はもはやスマートコントラクトだけにとどまらず、AIツールが新たな攻撃面となっていることを示している。
OpenClawの創設者ピーター・スタインバーガーは、コミュニティの通報機能を導入し、3回通報されると自動的に疑わしいスキルを非表示にする仕組みを実装した。Koi SecurityもスキャンツールClawdexを公開しているが、これらはあくまで後手の対応に過ぎない。
根本的な問題は、AIエコシステムの「信頼」が前提となっている点にある。信頼して公開されたスキルは安全であり、AIの提案は正しいとされ、生成されたコードも信頼できると考えられている。しかし、これが暗号通貨ウォレットやDeFiプロトコルを管理するエコシステムにおいては、信頼の前提が崩れたとき、その代償は実金に直結する。
補足:VanEckのデータによると、2025年末までに暗号領域には1万を超えるAIエージェントが存在し、2026年にはその数は100万を突破すると予測されている。
関連記事
DeFiが若い人には遅すぎて、老後の資金には危険すぎる:私たちはみんな国債の利息を受け取りながら、ジャンク債のリスクを背負っているの?
