「スキル」がサプライチェーンとなるとき:OpenClawマーケットプレイスマルウェアの警鐘

ここ数年、「AIエージェント」は単なるマーケティング用語ではなく、真のワークフローとして使われるようになりました。つまり、ファイルを読み込み、ブラウザを開き、コマンドを実行し、複数のサービス間のアクションを統合できるアシスタントです。これが私たちの約束です。

問題は電力には流通経路があるそしてそのチャンネルはますますスキル: エージェント(そして多くの場合ユーザー)にタスクの達成方法を教える、共有可能な小さな「ハウツー」パッケージ。エージェントにとってアプリストアの時代と言えるでしょう。ただし、その「アプリ」はしばしばマークダウンの指示

今週の悪意あるOpenClawスキルに関する報告は、オープンソースのサプライチェーンの歴史が繰り返されようとしていることを示唆する、非常に大きな兆候である。ただし、攻撃者はコンパイルされた依存関係を汚染するのではなく、ドキュメントエージェントの有用性を潤滑剤として活用します。

以下では、何が起こったのか、なぜそれがうまく機能するのか、そしてそれに対して何ができるのかを実際的に説明します。

OpenClaw スキルとは何か(そしてなぜそれが重要なのか)

OpenClaw は、シンプルな拡張モデルを普及させました。ソーシャルメディアへの投稿、フォルダーのクリーンアップ、レポートの要約、ワークフローの自動化といった特定のタスクの実行方法を説明する「スキル」を追加すると、エージェントは新しい機能を獲得します。

より広範な「エージェントスキル」エコシステムでは、スキルは通常、スキル.mdファイル。そのファイルには次の内容が含まれます。

  • メタデータ(名前 / 説明)
  • 説明書(実際の手順)
  • オプション:スクリプトその他のバンドルアセット

ドキュメントのように見えるので、一見無害に聞こえます。しかし、ドキュメントはまさに人々がすぐに理解できるものであり、特に前提条件リストやインストールガイドのような場合はなおさらです。

スキルには「勝者総取り」の力学があります。人々は人気のあるもの、新しいもの、そして時間の節約になりそうなものに惹かれます。そのため、公開されているスキルマーケットプレイスは価値の高いターゲットとなります。ダウンロード数の多いアプリをいくつか攻略すれば、開発者、オペレーター、そして貴重な資格情報を自分のマシンに保存しているあらゆる人など、集中したパワーユーザーにリーチできるのです。

核となるトリック:マークダウンはもはや「コンテンツ」ではなく、インストーラーです

従来のソフトウェア サプライ チェーン攻撃では、依存関係の混乱、タイポスクワッティング、悪意のあるインストール後スクリプト、パッケージ名の制御の維持、スキャナーの回避など、技術的な投資が必要になることがよくあります。

スキルマーケットプレイスによりハードルが下がります。

悪意のあるスキルは、次のような単純なことを行うことができます。

  1. 説得力のあるツール(「Twitter スキル」、「暗号トラッカー」、「自動化ヘルパー」)を提示します。
  2. 「必要な依存関係」を含む「前提条件」セクションを追加します。
  3. 便利なリンクとワンライナーコマンドを提供します。
  4. 実行は人間(またはエージェント)に任せましょう。

これは新しいソーシャルエンジニアリングの考え方ではなく、何年も前から使われてきましたが、エージェントのワークフローは増幅するそれ:

  • エージェントは自信を持ってドキュメントを要約します (「依存関係をインストールするには、これを実行するだけです」)。
  • エージェントはコマンドを生成することで摩擦を軽減します。
  • 一部の設定では、エージェントがシェル コマンドを自ら実行できます。

その時点で、「ドキュメント」はリモート実行パスになります。

OpenClawエコシステムで何が起こったかの報告

複数の記事では、攻撃者が大量の悪意のあるスキルをClawHubマーケットプレイスにアップロードし、「セットアップ手順」を使用して情報を盗むマルウェアを配信するキャンペーンについて説明しています。

1Password の Jason Meller 氏によると、最も多くダウンロードされたスキルには、段階的な配信チェーンにユーザーを誘導する指示が含まれていました。そのチェーンとは、「依存関係」へのリンク、難読化されたコマンド、そして最終的にマシンを襲撃して貴重な秘密を盗むように設計されたインフォスティーラーをインストールするペイロードです。

Cyber​​Insiderは、Koi Securityの調査を引用し、同様のパターンが大規模に発生していると説明しています。それは、難読化されたシェルスクリプトを実行したり、パスワードで保護されたアーカイブをダウンロードするようにユーザーに指示する「前提条件」を備えたトロイの木馬化されたスキルであり、最終的には、認証情報の盗難やウォレットの標的化に関連するマルウェアファミリーであるAtomic macOS Stealer(AMOS)などのペイロードにつながります。

正確な数字が報告書間で異なっているかどうかは、一貫している:

  • 配布に使用されるスキル
  • 説得として使用される「前提条件」の指示
  • 最終目的として利用されるインフォスティーラー

その最終目標は重要です。現代の情報窃盗犯は1つのパスワードを狙っているのではなく、セッショントークンブラウザプロファイルSSHキークラウド資格情報、 そして暗号通貨ウォレット言い換えれば、1 台のノート PC が侵害され、それがさらに広範囲に及ぶ侵害に発展してしまうということです。

「私はそんな話には騙されない」と思ったことがあるなら、冷静になって疑ってみればその考えは正しいかもしれません。

しかし、エージェントのワークフローによってコンテキストが変わります。

  • 速度がデフォルトになります。早く行動したいのでエージェントを利用しています。
  • 認知負荷は外部委託されます。エージェントは、乱雑な説明ページを自信に満ちたチェックリストに変えます。
  • 権限は借り物です。エージェントが「これは標準的な依存関係です」と言った場合、それは検証済みであると感じられます。

言い換えれば、エージェントは技術的な意味で「騙される」必要はありません。リスクの高い行動を取らせようとしている時に、エージェントがそこに存在していれば十分です。それだけで、行動を転換させるには十分です。

そしてもしあなたがするエージェントが直接コマンドを実行できるようにすると、悪意のあるスキルが「ハンズフリーの侵害」になる可能性があります。

「でも、MCPはどうですか?ツールをより安全にするものではないのですか?」

モデルコンテキストプロトコル(MCP)は、ツールアクセスの構造化における真の前進です。ホストがツール、リソース、プロンプトを公開する方法を標準化し、ユーザーの同意と制御を重視しています。

ただし、MCP は「スキル」を魔法のように安全にするわけではありません。

なぜ?

  • スキルは、MCP 境界外でコマンドを実行するようにユーザーに指示できます。
  • スキルは、MCP にまったく影響を与えないスクリプトまたはダウンロードにリンクできます。
  • すべてのスキルが MCP を使用するわけではありません。

MCPは、ホストが強力な権限設定、明確な同意プロンプト、ログ記録、安全なデフォルト設定を実装している場合に役立ちます。しかし、マークダウンベースの配信メカニズムでは、従来のソーシャルエンジニアリングによってMCPを回避できる可能性があります。

これは、サプライチェーン セキュリティのエージェント バージョンです (これは以前にも説明しました)

ソフトウェア業界は、次のことを苦い経験から学びました。

  • 人気のあるレジストリは悪用されることがあります。
  • タイポスクワッティングは効果があります。
  • 「このヘルパーをインストールする」は一般的なエントリ ポイントです。
  • 最も価値のある犠牲者は、何かを構築している人たちです。

スキル マーケットプレイスは、これらの教訓を 2 つの新しい促進剤と組み合わせています。

  1. 「パッケージ」は説明書のようなものコードではなく、命令を確実にスキャンすることが困難です。
  2. ランタイム環境は認証情報が豊富です設計上: ブラウザはすべてにログインし、SSH キーを持つターミナル、クラウド CLI、パスワード マネージャー、ローカル ファイルを使用します。

ある意味、スキルマーケットプレイスは、トップアプリが「この機能を有効にするには、ターミナルにコピー&ペーストしてください」と言えば済むアプリストアです。これはチェックボックス一つで解決できる問題ではありません。

実用的な防御策(一般ユーザー向け)

ローカル アクセス権を持つエージェントを実験している場合は、そのエージェントをスーパーパワーを持つ新しいオペレーティング システム ユーザーのように扱う必要があります。

実用的なベースラインは次のとおりです。

  1. 専用マシンまたはVMを使用するエージェント実験用。保存された企業ログイン情報はありません。本番環境のSSHキーも不要です。クラウド管理セッションもありません。
  2. ワンライナーインストーラーではデフォルトで「いいえ」になります。特に、curl を sh にパイプしたり、base64 を使用したり、OS 保護を削除するように要求したりするもの。
  3. 「最もダウンロードされた」という言葉を信用しないでください。人気は成長ハックであり、セキュリティ モデルではありません。
  4. すでに何かを実行している場合は、重要なものを最初にローテーションします。ブラウザ セッション、SSH キー、API トークン、クラウド キー。
  5. ソース管理されレビュー可能なスキルを優先(履歴、既知のメンテナー、明確な出所のある Git リポジトリ)。

マーケットプレイスが生き残るためにすべきこと

公開スキル レジストリを実行すると、攻撃対象領域を実行することになります。

攻撃者のコストを大幅に引き上げるいくつかの実用的な手順:

  • 出版社の評判と由来(身元、履歴、署名の確認)。
  • 自動スキャン疑わしいパターン(エンコードされたペイロード、難読化されたワンライナー、隔離されたファイルの削除、パスワードで保護されたアーカイブ、オフサイトリンクを含む「コア依存関係のインストール」)を検出します。
  • 警告 UI 摩擦外部リンクとシェルコマンド用。
  • 迅速な撤去と目に見えるインシデント対応(pastebin ではなく、アプリ ストアのように扱ってください)。

これらはどれも完璧ではありませんが、時間を稼ぐことができます。そして、時間こそが防御側に必要なものです。

エージェントビルダーが今後想定すべきこと

エージェント ランタイム自体を構築する場合は、スキルが武器化されることを想定してください。

つまり、次のようになります。

  • デフォルトでコマンド実行を拒否する(一度限りの切り替えではなく、コマンドごとに同意が必要です)。
  • 強力なサンドボックスファイル システムとブラウザー アクセス用。
  • スコープと時間制限のある権限簡単に取り消しができます。
  • 監査可能なログエージェントが何を読み取り、何を実行したかを示します。

最終的な状態は、クラウドが何年も前にたどった方向と同じです。つまり、アイデンティティ、ポリシー、最小権限、監査証跡ですが、ワークステーション レベルにまで落とし込まれています。

結論

OpenClawのスキルに関する話は、単に「一部の人がマルウェアをアップロードした」という話ではありません。これは、サプライチェーンを巡る次の戦場の予告です。スキルは配布、マークダウンは実行パス、エージェントはアクセラレータとして機能します。

エージェントが個人用および業務用のマシン上に存在する場合、エコシステムには、スキル マーケットプレイスをアプリ ストアのように扱い、ドキュメントをコードのように扱い、「役立つ自動化」を単なる利便性ではなく特権的な操作として扱う信頼レイヤーが必要です。


出典

Document Title
When ‘skills’ become the supply chain: the OpenClaw marketplace malware wake‑up call
Malicious AI-agent ‘skills’ are turning documentation into a distribution channel for infostealers. Here’s how it works — and how to defend against it.
Title Attribute
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
Ikea’s bargain Matter-over-Thread devices are stumbling at the hardest step: getting connected
Should AI chatbots have ads? What Anthropic’s ‘no ads’ stance really means
Page Content
When ‘skills’ become the supply chain: the OpenClaw marketplace malware wake‑up call
Nature
Climate
/
General
/ By
Admin
In the last couple of years, “AI agent” stopped being a marketing phrase and started being a real workflow: an assistant that can read your files, open your browser, run commands, and stitch together actions across services. That’s the promise.
The problem is that
power has a distribution channel
. And that channel is increasingly called a
skill
: a small, shareable “how-to” package that teaches an agent (and often the user) how to accomplish a task. It’s the app store moment for agents — except the “apps” are frequently
markdown instructions
.
This week’s reports about malicious OpenClaw skills are an early, very loud signal that we’re about to repeat open-source supply‑chain history — but with a twist: instead of poisoning a compiled dependency, attackers can poison
documentation
and use the agent’s helpfulness as the lubricant.
Below is a practical explainer of what happened, why it works so well, and what you can do about it.
What OpenClaw skills are (and why they matter)
OpenClaw popularized a simple extension model: drop in a “skill” that explains how to do a narrow task — post on social media, clean folders, summarize a report, automate a workflow — and the agent gains a new capability.
In the broader “agent skills” ecosystem, a skill is typically a folder built around a
SKILL.md
file. That file contains:
Metadata
(name / description)
Instructions
(the actual steps)
Optionally:
scripts
and other bundled assets
That sounds benign because it looks like documentation. But documentation is exactly what people follow quickly, especially when it looks like a prerequisite list or installation guide.
Skills also have a “winner takes all” dynamic: people gravitate to what’s popular, what’s new, and what looks like it will save time. That makes a public skills marketplace a high-value target: compromise a few top downloads, and you can reach a concentrated set of power users — developers, operators, and anyone who has valuable credentials sitting on their machine.
The core trick: markdown isn’t “content” anymore — it’s an installer
Traditional software supply chain attacks often require technical investment: dependency confusion, typosquatting, malicious post-install scripts, maintaining control over a package name, and dodging scanners.
A skills marketplace lowers the bar.
A malicious skill can do something as simple as this:
Present a plausible tool (“Twitter skill,” “crypto tracker,” “automation helper”).
Add a “Prerequisites” section with a “required dependency.”
Provide a convenient link and a one‑liner command.
Rely on the human (or the agent) to execute it.
That’s not a new social engineering idea — it’s been used for years — but agent workflows
amplify
it:
Agents summarize docs confidently (“Just run this to install the dependency”).
Agents reduce friction by generating the command for you.
In some setups, agents can run shell commands themselves.
At that point, “documentation” becomes a remote execution path.
What the reports say happened in the OpenClaw ecosystem
Multiple write-ups describe a campaign in which attackers uploaded large numbers of malicious skills to the ClawHub marketplace and used “setup steps” to deliver infostealing malware.
According to 1Password’s Jason Meller, a top-downloaded skill included instructions that funneled users into a staged delivery chain: a link to a “dependency,” an obfuscated command, and then a payload that ultimately installed an infostealer designed to raid the machine for valuable secrets.
CyberInsider, citing research from Koi Security, describes a similar pattern at scale: trojanized skills with “Prerequisites” instructing users to run obfuscated shell scripts or download password-protected archives, culminating in payloads such as Atomic macOS Stealer (AMOS) — a malware family associated with credential theft and wallet targeting.
Whether the exact counts differ between reports, the
shape
is consistent:
Skills used as distribution
“Prerequisite” instructions used as persuasion
Infostealers used as the end goal
That end goal matters: modern infostealers aren’t after one password — they’re after
session tokens
,
browser profiles
SSH keys
cloud credentials
, and
crypto wallets
. In other words: the stuff that turns one compromised laptop into a broader compromise.
Why agents make this worse than a normal scammy download link
If you’ve ever thought, “I wouldn’t fall for that,” you’re probably right when you’re calm and skeptical.
But agent workflows change the context:
Speed becomes the default.
You’re using an agent because you want to move quickly.
Cognitive load is outsourced.
The agent turns a messy instruction page into a confident checklist.
Authority is borrowed.
If the agent says “This is the standard dependency,” it feels vetted.
In other words: the agent doesn’t need to be “tricked” in a technical sense. It just needs to be present while you’re being nudged to do a risky thing. That’s enough to tip behavior.
And if you
do
allow the agent to run commands directly, a malicious skill can become “hands-free compromise.”
‘But what about MCP? Isn’t that supposed to make tools safer?’
Model Context Protocol (MCP) is a real step forward for structuring tool access. It standardizes how hosts expose tools, resources, and prompts, and it emphasizes user consent and control.
However, MCP doesn’t magically make “skills” safe.
Why?
Skills can instruct users to run commands outside the MCP boundary.
Skills can link to scripts or downloads that never touch MCP.
Not every skill uses MCP at all.
MCP can help when the host implements strong permissioning, clear consent prompts, logging, and safe defaults. But a markdown-based distribution mechanism can still route around it through plain old social engineering.
This is the agent version of supply-chain security (and we’ve been here before)
The software world learned the hard way that:
Popular registries get abused.
Typosquatting works.
“Install this helper” is a common entry point.
The most valuable victims are the ones building things.
Skills marketplaces combine those lessons with two new accelerants:
The “package” can be instructions
, not code — and instructions are harder to scan reliably.
The runtime environment is credential-rich
by design: browsers logged into everything, terminals with SSH keys, cloud CLIs, password managers, and local files.
In a sense, a skills marketplace is an app store where the top apps are allowed to say “Copy-paste this into Terminal to enable the feature.” That’s not a solvable problem with one checkbox.
Practical defenses (for normal users)
If you’re experimenting with an agent that has local access, you need to treat it like a new operating system user with superpowers.
Here’s the pragmatic baseline:
Use a dedicated machine or VM
for agent experiments. No saved corporate logins. No production SSH keys. No cloud admin sessions.
Default to “no” on one-liner installers.
Especially anything that pipes curl into sh, uses base64, or asks you to remove OS protections.
Don’t trust “top downloaded.”
Popularity is a growth hack, not a security model.
Rotate what matters first if you already ran something.
Browser sessions, SSH keys, API tokens, cloud keys.
Prefer skills that are source-controlled and reviewable
(Git repos with history, known maintainers, clear provenance).
What marketplaces should do (if they want to survive)
If you run a public skills registry, you are running an attack surface.
A few practical steps that meaningfully raise attacker cost:
Publisher reputation and provenance
(verified identities, history, signing).
Automated scanning
for suspicious patterns (encoded payloads, obfuscated one-liners, quarantine removal, password-protected archives, “install core dependency” with offsite links).
Warning UI friction
for external links and shell commands.
Fast takedown and visible incident response
(treat it like an app store, not a pastebin).
None of these are perfect, but they buy time — and time is what defenders need.
What agent builders should assume going forward
If you’re building the agent runtime itself, assume skills will be weaponized.
That means:
Default-deny command execution
(require per-command consent, not once-and-forever toggles).
Strong sandboxing
for file system and browser access.
Scoped, time-bound permissions
with easy revocation.
Auditable logs
of what the agent read and what it executed.
The end state is the same direction the cloud took years ago: identity, policy, least privilege, and audit trails — but brought down to the workstation level.
Bottom line
The OpenClaw skills story isn’t just “some people uploaded malware.” It’s a preview of the next supply-chain battlefield:
skills as distribution, markdown as an execution path, and agents as the accelerator.
If agents are going to live on our personal and work machines, the ecosystem needs a trust layer that treats skills marketplaces like app stores, treats documentation like code, and treats “helpful automation” as a privileged operation — not a casual convenience.
Sources
https://www.theverge.com/news/874011/openclaw-ai-skill-clawhub-extensions-security-nightmare
https://1password.com/blog/from-magic-to-malware-how-openclaws-agent-skills-become-an-attack-surface
https://cyberinsider.com/341-openclaw-skills-distribute-macos-malware-via-clickfix-instructions/
https://agentskills.io/what-are-skills
https://modelcontextprotocol.io/specification/2025-06-18
Previous Post
Next Post
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
Ikea’s bargain Matter-over-Thread devices are stumbling at the hardest step: getting connected
Should AI chatbots have ads? What Anthropic’s ‘no ads’ stance really means
Malicious AI-agent ‘skills’ are turning documentation into a distribution channel for infostealers. Here’s how it works — and how to defend against it.
Document Title
Page not found - Florin.blog
Image Alt
Florin.blog
Title Attribute
Florin.blog » Feed
RSD
Skip to content
Placeholder Attribute
Search...
Page Content
Page not found - Florin.blog
Skip to content
Home
Blog
Garden Decor
Indoor
Main Menu
This page doesn't seem to exist.
It looks like the link pointing here was faulty. Maybe try searching?
Search for:
Search
Quick Links
Outdoors
About
Contact
Explore
Bestsellers
Hot deals
Best of The Year
Featured
Gift Cards
Help
Privacy Policy
Disclaimer
: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.
Florin.blog
Florin.blog » Feed
RSD
Search...
日本語