AIセキュリティ速報
2026年3月18日|Aitly編集部
OpenClawの公式スキルレジストリ「ClawHub」で、824件超の悪意あるスキルが発見された。うち335件は「ClawHavoc」と呼ばれる単一の組織的攻撃キャンペーンに起因する。Ciscoのセキュリティ研究チームは、OpenClawを「能力面では画期的だが、セキュリティ面では悪夢」と評しており、AIエージェント時代のサプライチェーンリスクが現実のものとなった。
この記事のポイント
- ClawHubの全スキルの約20%(824件超)が悪意あるスキルと判明
- 335件は「ClawHavoc」という組織的キャンペーンによる一括投入
- CVE-2026-25253(CVSS 8.8)で1クリックRCE(リモートコード実行)が可能だった
- Censys調査で公開インスタンスが1週間で約1,000件から21,639件に急増
- 悪意あるスキルの主な目的はAMOS(Atomic macOS Stealer)によるパスワード・暗号資産の窃取
OpenClawとは何か
OpenClawは、メール・カレンダー・スマートホーム・フードデリバリーなどの外部サービスと連携し、ユーザーの指示に基づいて実際のアクションを実行できるオープンソースのAIエージェントだ。従来のチャットボットが「回答する」だけだったのに対し、OpenClawは「行動する」AIとして注目を集め、GitHubで60日間で25万スターを獲得するなど爆発的な普及を見せた。
スキル(サードパーティ拡張機能)はClawHubという公式レジストリからインストールでき、2026年1月時点で約2,857件のスキルが登録されていた。このスキルエコシステムの急拡大が、今回のセキュリティ危機の温床となった。
ClawHavoc攻撃の全容
Koi Securityの初期発見
セキュリティ企業Koi Securityが最初の体系的監査を実施し、ClawHub上の341件の悪意あるスキルを特定した。そのうち335件が単一の組織的キャンペーン「ClawHavoc」に起因するものだった。攻撃者は少なくとも2つのアカウントを使い分けており、「hightower6eu」は354件、「sakaen736jih」は199件の悪意あるパッケージを投稿していた。投稿間隔は数分おきで、明らかに自動化されたものだった。
攻撃の手口
ClawHavocのスキルはすべて同じ手法を採用していた。インストール時に「前提条件のセットアップ」と称して偽のインストーラーを実行させ、バックグラウンドでAMOS(Atomic macOS Stealer)を展開する。AMOSはパスワード、ブラウザCookie、暗号資産ウォレット、macOSキーチェーンのデータを窃取する情報窃取型マルウェアだ。Windows向けにはVMProtectで保護されたRAT(Remote Access Trojan)機能付きの亜種も確認されている。
Ciscoの評価と対応
CiscoのAI Threat and Security Researchチームは、追加スキャンにより悪意あるスキルの総数を824件超(レジストリ全体の約20%)に更新した。Ciscoはこれを受けてオープンソースの「Skill Scanner」を公開。静的解析、振る舞いデータフロー分析、LLMセマンティック分析、VirusTotalスキャンの4層構造で悪意あるスキルを検出するツールだ。
| 項目 | 詳細 |
|---|---|
| 悪意あるスキル総数 | 824件超(レジストリの約20%) |
| ClawHavoc起因 | 335件(単一の組織的キャンペーン) |
| 主要マルウェア | AMOS(Atomic macOS Stealer)+ Windows向けRAT亜種 |
| 攻撃者アカウント | hightower6eu(354件)、sakaen736jih(199件)他 |
| 窃取対象 | パスワード、ブラウザCookie、暗号資産ウォレット、macOSキーチェーン |
CVE-2026-25253:1クリックでRCEが成立する脆弱性
ClawHavocと並行して、OpenClaw本体にも致命的な脆弱性が発見された。CVE-2026-25253(CVSS 8.8)は、OpenClawのControl UIがURLクエリパラメータ経由で任意のgatewayUrlを受け入れ、ユーザーの確認なしにWebSocket接続を確立して認証トークンを送信してしまう欠陥だ。
攻撃の流れ
攻撃はミリ秒単位で完了する「1クリックRCEキルチェーン」として機能する。被害者がフィッシングメールやSNSの悪意あるリンクをクリックすると、ブラウザはOpenClaw Gateway Control UIへリダイレクトされる。細工されたURLにはgatewayUrlパラメータが含まれており、OpenClawクライアントは自動的にそのURLへWebSocket接続を確立し、認証トークンを攻撃者に送信する。
WebSocketにはHTTPリクエストのようなCORS(Cross-Origin Resource Sharing)保護がなく、OpenClawのGatewayサーバーはWebSocket接続元のオリジンを検証していなかった。攻撃者は窃取したトークンでOpenClaw Gatewayへの完全なセッションを取得し、AIエージェントに任意のコマンドを実行させることが可能だった。
ローカルインスタンスも対象
CVE-2026-25253はインターネットに公開されていないローカルのOpenClawインスタンスに対しても有効だった。Hunt.ioの調査では、インターネットに露出した17,500件超のインスタンスが脆弱な状態にあったことが確認されている。v2026.1.29で修正済み。
爆発的普及がリスクを増幅した
Censysの調査によると、OpenClawの公開インスタンス数は2026年1月25日時点で約1,000件だったが、わずか6日後の1月31日には21,639件にまで急増した。本来OpenClawはローカル環境(TCP/18789)での動作を前提としており、SSHトンネルやCloudflare Tunnelなどの保護層を経由してアクセスする設計だ。しかし、急速な普及に伴い、セキュリティ設定なしにインターネットに直接公開するユーザーが大量に発生した。
デプロイ先は米国が最多で、中国、シンガポールが続く。メール、カレンダー、スマートホーム、フードデリバリーなど生活インフラと直結するAIエージェントが、認証トークン窃取の脆弱性を抱えたまま公開されていた状況は極めて深刻だった。
| 日付 | 公開インスタンス数 | 備考 |
|---|---|---|
| 2026年1月25日 | 約1,000件 | 急拡大前 |
| 2026年1月31日 | 21,639件 | 6日間で約21倍に急増 |
| 脆弱なインスタンス | 17,500件超 | Hunt.io調査(CVE-2026-25253対象) |
OpenClawユーザーが今すぐ取るべき対策
v2026.1.29以降に即時アップデート
CVE-2026-25253はv2026.1.29で修正済み。それ以前のバージョンはすべて脆弱であり、アップデートが最優先事項となる。
認証情報のローテーション
過去にインターネットに公開していた場合、認証トークンが漏洩している可能性がある。すべての認証情報をローテーション(再発行)すべきだ。
インストール済みスキルの監査
ClawHubからインストールしたスキルをすべて確認し、Ciscoが公開した「Skill Scanner」で検査する。不審なスキルは即座にアンインストールする。
ネットワーク公開設定の見直し
OpenClawをインターネットに直接公開しない。SSHトンネルやCloudflare Tunnelなど、認証付きの保護層を経由させる。
編集部の見解
Aitly編集部の見解
OpenClawのセキュリティ危機は、AIエージェント時代の「最初の大規模サプライチェーン攻撃」として記録される事例になるだろう。npmやPyPIで繰り返されてきた悪意あるパッケージの混入問題が、AIスキルのエコシステムでもそのまま再現された形だ。
とりわけ深刻なのは、AIエージェントが持つ権限の広さだ。従来のパッケージマネージャーの悪意あるライブラリは「そのアプリケーション内」の被害に留まることが多かったが、OpenClawのスキルはメール・カレンダー・決済など生活インフラ全体にアクセスできる。攻撃の影響範囲が桁違いに大きい。
AIエージェントフレームワークの開発者は、スキルの署名検証・サンドボックス実行・権限の最小化といったセキュリティ基盤を「後付け」ではなく設計段階から組み込む必要がある。ユーザーとしても、「公式レジストリにあるから安全」という思い込みは捨てるべきだ。
よくある質問
OpenClawを使っていなければ影響はありませんか?
CVE-2026-25253は修正済みですか?
ClawHubのスキルは今も危険ですか?
macOS以外のOSも被害を受けますか?
参考リンク
- The OpenClaw Security Crisis – Conscia
- OpenClaw Security Issues Continue as SecureClaw Open Source Tool Debuts – SecurityWeek
- Researchers Find 341 Malicious ClawHub Skills Stealing Data – The Hacker News
- Vulnerability Allows Hackers to Hijack OpenClaw AI Assistant – SecurityWeek
- OpenClaw in the Wild: Mapping the Public Exposure – Censys
- Securing OpenClaw Against ClawHavoc – Security Boulevard