ここ数年、「AIエージェント」は単なるマーケティング用語ではなく、真のワークフローとして使われるようになりました。つまり、ファイルを読み込み、ブラウザを開き、コマンドを実行し、複数のサービス間のアクションを統合できるアシスタントです。これが私たちの約束です。
問題は電力には流通経路があるそしてそのチャンネルはますますスキル: エージェント(そして多くの場合ユーザー)にタスクの達成方法を教える、共有可能な小さな「ハウツー」パッケージ。エージェントにとってアプリストアの時代と言えるでしょう。ただし、その「アプリ」はしばしばマークダウンの指示。
今週の悪意あるOpenClawスキルに関する報告は、オープンソースのサプライチェーンの歴史が繰り返されようとしていることを示唆する、非常に大きな兆候である。ただし、攻撃者はコンパイルされた依存関係を汚染するのではなく、ドキュメントエージェントの有用性を潤滑剤として活用します。
以下では、何が起こったのか、なぜそれがうまく機能するのか、そしてそれに対して何ができるのかを実際的に説明します。
OpenClaw スキルとは何か(そしてなぜそれが重要なのか)
OpenClaw は、シンプルな拡張モデルを普及させました。ソーシャルメディアへの投稿、フォルダーのクリーンアップ、レポートの要約、ワークフローの自動化といった特定のタスクの実行方法を説明する「スキル」を追加すると、エージェントは新しい機能を獲得します。
より広範な「エージェントスキル」エコシステムでは、スキルは通常、スキル.mdファイル。そのファイルには次の内容が含まれます。
- メタデータ(名前 / 説明)
- 説明書(実際の手順)
- オプション:スクリプトその他のバンドルアセット
ドキュメントのように見えるので、一見無害に聞こえます。しかし、ドキュメントはまさに人々がすぐに理解できるものであり、特に前提条件リストやインストールガイドのような場合はなおさらです。
スキルには「勝者総取り」の力学があります。人々は人気のあるもの、新しいもの、そして時間の節約になりそうなものに惹かれます。そのため、公開されているスキルマーケットプレイスは価値の高いターゲットとなります。ダウンロード数の多いアプリをいくつか攻略すれば、開発者、オペレーター、そして貴重な資格情報を自分のマシンに保存しているあらゆる人など、集中したパワーユーザーにリーチできるのです。
核となるトリック:マークダウンはもはや「コンテンツ」ではなく、インストーラーです
従来のソフトウェア サプライ チェーン攻撃では、依存関係の混乱、タイポスクワッティング、悪意のあるインストール後スクリプト、パッケージ名の制御の維持、スキャナーの回避など、技術的な投資が必要になることがよくあります。
スキルマーケットプレイスによりハードルが下がります。
悪意のあるスキルは、次のような単純なことを行うことができます。
- 説得力のあるツール(「Twitter スキル」、「暗号トラッカー」、「自動化ヘルパー」)を提示します。
- 「必要な依存関係」を含む「前提条件」セクションを追加します。
- 便利なリンクとワンライナーコマンドを提供します。
- 実行は人間(またはエージェント)に任せましょう。
これは新しいソーシャルエンジニアリングの考え方ではなく、何年も前から使われてきましたが、エージェントのワークフローは増幅するそれ:
- エージェントは自信を持ってドキュメントを要約します (「依存関係をインストールするには、これを実行するだけです」)。
- エージェントはコマンドを生成することで摩擦を軽減します。
- 一部の設定では、エージェントがシェル コマンドを自ら実行できます。
その時点で、「ドキュメント」はリモート実行パスになります。
OpenClawエコシステムで何が起こったかの報告
複数の記事では、攻撃者が大量の悪意のあるスキルをClawHubマーケットプレイスにアップロードし、「セットアップ手順」を使用して情報を盗むマルウェアを配信するキャンペーンについて説明しています。
1Password の Jason Meller 氏によると、最も多くダウンロードされたスキルには、段階的な配信チェーンにユーザーを誘導する指示が含まれていました。そのチェーンとは、「依存関係」へのリンク、難読化されたコマンド、そして最終的にマシンを襲撃して貴重な秘密を盗むように設計されたインフォスティーラーをインストールするペイロードです。
CyberInsiderは、Koi Securityの調査を引用し、同様のパターンが大規模に発生していると説明しています。それは、難読化されたシェルスクリプトを実行したり、パスワードで保護されたアーカイブをダウンロードするようにユーザーに指示する「前提条件」を備えたトロイの木馬化されたスキルであり、最終的には、認証情報の盗難やウォレットの標的化に関連するマルウェアファミリーであるAtomic macOS Stealer(AMOS)などのペイロードにつながります。
正確な数字が報告書間で異なっているかどうかは、形一貫している:
- 配布に使用されるスキル
- 説得として使用される「前提条件」の指示
- 最終目的として利用されるインフォスティーラー
その最終目標は重要です。現代の情報窃盗犯は1つのパスワードを狙っているのではなく、セッショントークン、ブラウザプロファイル、SSHキー、クラウド資格情報、 そして暗号通貨ウォレット言い換えれば、1 台のノート PC が侵害され、それがさらに広範囲に及ぶ侵害に発展してしまうということです。
なぜエージェントはこれを通常の詐欺的なダウンロードリンクよりも悪くするのか
「私はそんな話には騙されない」と思ったことがあるなら、冷静になって疑ってみればその考えは正しいかもしれません。
しかし、エージェントのワークフローによってコンテキストが変わります。
- 速度がデフォルトになります。早く行動したいのでエージェントを利用しています。
- 認知負荷は外部委託されます。エージェントは、乱雑な説明ページを自信に満ちたチェックリストに変えます。
- 権限は借り物です。エージェントが「これは標準的な依存関係です」と言った場合、それは検証済みであると感じられます。
言い換えれば、エージェントは技術的な意味で「騙される」必要はありません。リスクの高い行動を取らせようとしている時に、エージェントがそこに存在していれば十分です。それだけで、行動を転換させるには十分です。
そしてもしあなたがするエージェントが直接コマンドを実行できるようにすると、悪意のあるスキルが「ハンズフリーの侵害」になる可能性があります。
「でも、MCPはどうですか?ツールをより安全にするものではないのですか?」
モデルコンテキストプロトコル(MCP)は、ツールアクセスの構造化における真の前進です。ホストがツール、リソース、プロンプトを公開する方法を標準化し、ユーザーの同意と制御を重視しています。
ただし、MCP は「スキル」を魔法のように安全にするわけではありません。
なぜ?
- スキルは、MCP 境界外でコマンドを実行するようにユーザーに指示できます。
- スキルは、MCP にまったく影響を与えないスクリプトまたはダウンロードにリンクできます。
- すべてのスキルが MCP を使用するわけではありません。
MCPは、ホストが強力な権限設定、明確な同意プロンプト、ログ記録、安全なデフォルト設定を実装している場合に役立ちます。しかし、マークダウンベースの配信メカニズムでは、従来のソーシャルエンジニアリングによってMCPを回避できる可能性があります。
これは、サプライチェーン セキュリティのエージェント バージョンです (これは以前にも説明しました)
ソフトウェア業界は、次のことを苦い経験から学びました。
- 人気のあるレジストリは悪用されることがあります。
- タイポスクワッティングは効果があります。
- 「このヘルパーをインストールする」は一般的なエントリ ポイントです。
- 最も価値のある犠牲者は、何かを構築している人たちです。
スキル マーケットプレイスは、これらの教訓を 2 つの新しい促進剤と組み合わせています。
- 「パッケージ」は説明書のようなものコードではなく、命令を確実にスキャンすることが困難です。
- ランタイム環境は認証情報が豊富です設計上: ブラウザはすべてにログインし、SSH キーを持つターミナル、クラウド CLI、パスワード マネージャー、ローカル ファイルを使用します。
ある意味、スキルマーケットプレイスは、トップアプリが「この機能を有効にするには、ターミナルにコピー&ペーストしてください」と言えば済むアプリストアです。これはチェックボックス一つで解決できる問題ではありません。
実用的な防御策(一般ユーザー向け)
ローカル アクセス権を持つエージェントを実験している場合は、そのエージェントをスーパーパワーを持つ新しいオペレーティング システム ユーザーのように扱う必要があります。
実用的なベースラインは次のとおりです。
- 専用マシンまたはVMを使用するエージェント実験用。保存された企業ログイン情報はありません。本番環境のSSHキーも不要です。クラウド管理セッションもありません。
- ワンライナーインストーラーではデフォルトで「いいえ」になります。特に、curl を sh にパイプしたり、base64 を使用したり、OS 保護を削除するように要求したりするもの。
- 「最もダウンロードされた」という言葉を信用しないでください。人気は成長ハックであり、セキュリティ モデルではありません。
- すでに何かを実行している場合は、重要なものを最初にローテーションします。ブラウザ セッション、SSH キー、API トークン、クラウド キー。
- ソース管理されレビュー可能なスキルを優先(履歴、既知のメンテナー、明確な出所のある Git リポジトリ)。
マーケットプレイスが生き残るためにすべきこと
公開スキル レジストリを実行すると、攻撃対象領域を実行することになります。
攻撃者のコストを大幅に引き上げるいくつかの実用的な手順:
- 出版社の評判と由来(身元、履歴、署名の確認)。
- 自動スキャン疑わしいパターン(エンコードされたペイロード、難読化されたワンライナー、隔離されたファイルの削除、パスワードで保護されたアーカイブ、オフサイトリンクを含む「コア依存関係のインストール」)を検出します。
- 警告 UI 摩擦外部リンクとシェルコマンド用。
- 迅速な撤去と目に見えるインシデント対応(pastebin ではなく、アプリ ストアのように扱ってください)。
これらはどれも完璧ではありませんが、時間を稼ぐことができます。そして、時間こそが防御側に必要なものです。
エージェントビルダーが今後想定すべきこと
エージェント ランタイム自体を構築する場合は、スキルが武器化されることを想定してください。
つまり、次のようになります。
- デフォルトでコマンド実行を拒否する(一度限りの切り替えではなく、コマンドごとに同意が必要です)。
- 強力なサンドボックスファイル システムとブラウザー アクセス用。
- スコープと時間制限のある権限簡単に取り消しができます。
- 監査可能なログエージェントが何を読み取り、何を実行したかを示します。
最終的な状態は、クラウドが何年も前にたどった方向と同じです。つまり、アイデンティティ、ポリシー、最小権限、監査証跡ですが、ワークステーション レベルにまで落とし込まれています。
結論
OpenClawのスキルに関する話は、単に「一部の人がマルウェアをアップロードした」という話ではありません。これは、サプライチェーンを巡る次の戦場の予告です。スキルは配布、マークダウンは実行パス、エージェントはアクセラレータとして機能します。
エージェントが個人用および業務用のマシン上に存在する場合、エコシステムには、スキル マーケットプレイスをアプリ ストアのように扱い、ドキュメントをコードのように扱い、「役立つ自動化」を単なる利便性ではなく特権的な操作として扱う信頼レイヤーが必要です。
出典
- https://www.theverge.com/news/874011/openclaw-ai-skill-clawhub-extensions-security-nightmare
- https://1password.com/blog/from-magic-to-malware-how-openclaws-agent-skills-become-an-attack-surface
- https://cyberinsider.com/341-openclaw-skills-distribute-macos-malware-via-clickfix-instructions/
- https://agentskills.io/what-are-skills
- https://modelcontextprotocol.io/specification/2025-06-18