あなたが今使っているAIエージェント、本当に安全ですか?
2026年2月、AIエージェント業界に激震が走りました。人気のパーソナルAIエージェント「OpenClaw」のスキルマーケットプレイス「ClawHub」で、341個の悪意あるスキルが発見されたのです。
これは全スキルの 約12% に相当します。
つまり、8個のスキルをインストールしたら、1個はマルウェアという計算です。
この記事を読んでいるOpenClawユーザーは、今すぐインストール済みスキルを確認してください。
結論から言うと
- ClawHub上の2,857スキル中、341個(12%)が悪意あるスキル
- 335個が同一の攻撃者グループによるもの(ClawHavoc作戦)
- 標的は暗号資産:ウォレット秘密鍵、取引所APIキー、SSH認証情報
- CVE-2026-25253:ワンクリックでPCが乗っ取られる致命的脆弱性
- 1月末時点で21,639台のOpenClawインスタンスがインターネットに公開
何が起きたのか?「ClawHavoc」作戦の手口
セキュリティ企業Koi Securityの調査により、「ClawHavoc」と名付けられた大規模サプライチェーン攻撃の全貌が明らかになりました。
攻撃の流れ
1. ユーザーが「便利そうな」スキルを発見
└─ 例:Solanaウォレットトラッカー、YouTubeユーティリティ
2. スキルをインストール
3. 「Prerequisites(前提条件)」セクションに誘導
└─ 「このスキルを使うには、まず○○をインストールしてください」
4. ユーザーが指示に従い、ファイルをダウンロード&実行
5. マルウェア(AMOS Stealer)がインストール
6. 以下の情報が全て盗まれる:
- 暗号資産ウォレットの秘密鍵
- 取引所APIキー
- SSH認証情報
- ブラウザのパスワード
衝撃的な事実:335個が同一犯
341個の悪意あるスキルのうち、335個は同一のC&Cサーバー(91.92.242.30)に接続していました。
つまり、これは組織的な攻撃です。
攻撃者は以下のような正規ツールを装ったスキルを大量に公開していました:
| カテゴリ | 偽装例 |
|---|---|
| 暗号資産 | Solanaウォレットトラッカー、Polymarket取引ボット |
| 開発ツール | Auto-updater、ファイナンスツール |
| メディア | YouTubeユーティリティ |
| その他 | ClawHubのタイポスクワット(clawhub → c1awhub等) |
最悪の脆弱性:CVE-2026-25253
OpenClawには、さらに恐ろしい脆弱性が存在しました。
CVE-2026-25253は、悪意あるWebページを訪問するだけで、OpenClawがインストールされたPCを完全に乗っ取られる脆弱性です。
攻撃チェーン:
1. 攻撃者のWebページを訪問
2. WebSocketオリジン検証の欠如を悪用
3. 認証トークンを窃取
4. API経由でサンドボックスを無効化
5. ホストマシンを完全掌握
研究者のMav Levin氏は「ミリ秒単位で任意のOpenClawインスタンスを侵害できる」と警告しています。
なぜこれほど危険なのか?Ciscoの分析
Ciscoのセキュリティチームは、OpenClawのようなパーソナルAIエージェントを「セキュリティの悪夢」と断言しています。
問題1:過剰な権限
OpenClawは以下の操作が可能です:
- シェルコマンドの実行
- ファイルの読み書き
- スクリプトの実行
つまり、AIエージェントはあなたのPCに対してroot権限に近いアクセスを持っているのです。
問題2:平文で保存された認証情報
OpenClawはAPIキーや認証情報を平文でリークしていたことが確認されています。攻撃者はプロンプトインジェクションや公開エンドポイント経由でこれらを取得できました。
問題3:攻撃面の拡大
WhatsAppやiMessageとの連携機能により、メッセージングアプリ経由での攻撃ベクトルが追加されています。
問題4:セキュリティは「オプション」
OpenClawの公式ドキュメントには、こう書かれています:
"There is no 'perfectly secure' setup"
(完璧にセキュアな設定は存在しない)
セキュリティが基盤ではなく、オプションになっているのです。
被害規模:21,639台が公開状態
Censysの調査によると:
- 1月末時点で21,639台のOpenClawインスタンスがインターネットに公開
- 1週間で1,000台から21,000台以上に急増
- これらすべてが攻撃者の標的になり得る
あなたを守る5つの対策
1. 今すぐインストール済みスキルを確認
以下のコマンドでインストール済みスキルを確認:
# OpenClawスキル一覧を表示
openclaw skills list
# 各スキルのソースを確認
openclaw skills inspect <skill_name>
2. 不審なスキルを即削除
以下の特徴があるスキルは要注意:
- 「Prerequisites」で外部ファイルのダウンロードを要求
- glot.io等の外部サービスからスクリプトを取得
- 暗号資産関連の機能を謳う
3. Ciscoの「Skill Scanner」を活用
Ciscoがオープンソースで公開した Skill Scanner を使って、スキルの安全性を事前評価できます。
# Skill Scannerのインストールと実行
pip install cisco-skill-scanner
skill-scanner scan <skill_directory>
4. ネットワーク監視の強化
以下のIPアドレスへの通信をブロック:
-
91.92.242.30(ClawHavocのC&Cサーバー)
5. 本当に必要か再考する
そもそも、そのAIエージェントは本当に必要ですか?
便利さと引き換えに、あなたは:
- 暗号資産
- 個人情報
- 業務データ
これらすべてを危険にさらしています。
2026年、AIエージェントは「新しい攻撃ベクトル」に
セキュリティ専門家たちは、2026年をAIエージェントセキュリティの転換点と位置づけています。
Palo Alto Networksの予測:
"AIエージェントは2026年最大の新しい攻撃ベクトルになる"
さらに恐ろしい予測もあります:
「マンチュリアン・エージェント」シナリオ
正規の人間の認証情報で動作するAIエージェントが、外部攻撃者によって操作され、企業ネットワーク内部から攻撃を実行する—これが2026年中に現実になると予測されています。
まとめ
- OpenClawのClawHub上で341個(12%)の悪意あるスキルが発見
- 335個は同一攻撃者によるサプライチェーン攻撃(ClawHavoc)
- CVE-2026-25253:ワンクリックRCEの致命的脆弱性
- 21,639台のインスタンスがインターネットに公開
- AIエージェントは「セキュリティの悪夢」(Cisco)
今すぐ行動を起こしてください。
あなたの暗号資産、パスワード、個人情報が危険にさらされている可能性があります。
参考リンク
Researchers Find 341 Malicious ClawHub Skills Stealing Data from OpenClaw Users
Personal AI Agents like OpenClaw Are a Security Nightmare - Cisco Blogs
OpenClaw Security Fallout: 341 Malicious Skills and Enabling One-Click Remote Code Execution
Security Experts Dire Warning on AI Agents in 2026
この記事が役に立ったら、いいねとストックをお願いします!
質問やコメントがあれば、ぜひ下のコメント欄で教えてください。あなたのAIエージェントのセキュリティ対策についても、ぜひ共有してください。