2026-06-25 01:52 UTC+9サイト内リライト3 分で読了更新: 2026-06-25 02:10 UTC+9

OpenClawのClawHubマーケットプレイスで悪意のあるAI「スキル」がスキャナーを回避して情報窃取型マルウェアを配信

Unit 42の研究者は、OpenClawのClawHubマーケットプレイスで、正規のものに見える「スキル」を公開し、ソーシャルエンジニアリングと難読化技術を用いてユーザーにコマンドを実行させ、AMOSやcluwなどの情報窃取型マルウェアを展開する悪意のある活動を発見しました。この攻撃はユーザー支援型実行によりセキュリティスキャナーを回避し、AIエージェントエコシステムに深刻なサプライチェーンリスクをもたらします。

ソースHacker News AI著者: jaybode

記事インテリジェンス

エンジニア上級

要点

Unit 42は2026年2月から5月にかけて、OpenClawのAIエージェントエコシステムを標的とした脅威キャンペーンを発見。
攻撃者はClawHubで「tradingview-ai-indicator-assistant」などの悪意あるスキルを公開し、paste-siteリダイレクトでbase64エンコードされたコマンドを実行させる。
コマンドはmacOS情報窃取型マルウェアcluwとAMOSを配信し、認証情報、ブラウザクッキー、暗号通貨ウォレットデータを窃取。
この攻撃はAIエージェントのサプライチェーンの脆弱性を浮き彫りにし、サンドボックスや権限制御の欠如がマルウェアの直接経路を作り出している。

重要な理由

このニュースが重要なのは、Unit 42は2026年2月から5月にかけて、OpenClawのAIエージェントエコシステムを標的とした脅威キャンペーンを発見ためです。

技術的影響

モデル選定、推論コスト、プロダクト能力、評価基準に影響する可能性があります。

このパネルは AI が生成し、正確性を確認済みです。

Unit 42の研究者は2026年2月から5月にかけて、OpenClawのAIエージェントエコシステムを標的とした高度な脅威キャンペーンを発見しました。悪意ある行為者がClawHub公式マーケットプレイスで危険な「スキル」を公開し、VirusTotalを含む統合セキュリティスキャナーを回避することに成功しています。この活動は、エージェント型AIプラットフォームの独自アーキテクチャに特化したソフトウェアサプライチェーン攻撃の進化を示しています。

脅威の概要として、OpenClawはサードパーティのプラグイン「スキル」をClawHubマーケットプレイスを通じて配布するAIエージェントです。このモデルは新しいタイプのソフトウェアサプライチェーンを生み出しています。2026年初頭のClawHavocなどの最初の悪意キャンペーンは特定され、VirusTotalとClawScanによるスキャン強化につながりましたが、脅威行為者は適応し、より回避的な手法を使用しています。

攻撃者は正規のスキル（例：tradingview-ai-indicator-assistant）を公開しますが、そのマークダウンファイルには「前提条件ブロック」が含まれ、ユーザーを外部ウェブサイト（paste-siteリダイレクト誘引）に誘導し、悪意のあるコマンドをホストします。ユーザーはスキルを有効にするためにこのコマンドを端末にコピー＆ペーストするよう指示されます。このユーザー支援型実行は、スキルパッケージ自体のみを分析する自動スキャナーを回避します。コマンドが実行されると、情報窃取型ペイロードをダウンロードして実行し、認証情報の窃取と潜在的な金銭的詐欺につながります。

技術的分析によると、攻撃チェーンは主に悪意スキルによって促されるユーザーインタラクションに依存しています。ユーザーがClawHubから悪意スキルをインストールすると、スキルの前提条件指示により、rentry.co/openclaw-codeのようなpaste-siteに誘導されます。ユーザーはBase64エンコードされた文字列をコピーし、シェルにパイプするよう指示されます。この実行されたシェルコマンドは、T1105 - Ingress Tool Transferを介して第二段階のペイロードを取得します。tradingviewスキルの場合、ペイロードXuvewuyurが2.26.75.16からダウンロードされ、新たなmacOS情報窃取型マルウェアcluwであることが判明しました。活動開始後、情報窃取型マルウェアは認証情報やその他の機密データを収集します。

影響評価では、主な影響はブラウザクッキー、暗号通貨ウォレットデータ、システムパスワードなど、被害者のマシンに保存された機密情報の窃取です。TradingViewユーザーを標的にしていることは、金融市場に関わる個人に焦点を当てており、直接的な金銭的損失のリスクを高めています。より広い視点では、この攻撃は急成長するAIエージェントエコシステムにおける深刻なシステムリスクを浮き彫りにしています。サードパーティスキルに対する堅牢なサンドボックスや権限制御の欠如は、マルウェアが直接ユーザーシステムに侵入する信頼できる経路を生み出しています。

検出と対応のためには、セキュリティチームは初期のスキルダウンロードを超えた監視が必要です。プロセス監視：OpenClawエージェントから発生する疑わしいプロセスチェーン（特にbashやshなどのシェルインタプリタを生成し、curlやwgetでネットワーク接続を開始する）を監視します。コマンドライン監査：実行されたプロセスのすべてのコマンドライン引数を記録し、curl | bashやbase64 --decode | bashなどのパターンに対してSIEMアラートを作成します。ネットワークトラフィック分析：上記のIOCへの発信接続をブロックし、既知の匿名paste-site（rentry.coなど）への接続に対してアラートを作成します。

緩和策としては、ユーザートレーニングが最も重要です。AIエージェントのユーザーに対して、サードパーティスキルマーケットプレイスのリスクを教育し、信頼できないソースからのコマンドを端末にコピー＆ペーストしないよう訓練します。アプリケーション制御：許可リストポリシーを実装し、OpenClawなどのアプリケーションがシェルインタプリタを起動するのを防ぎます。最小権限の原則：AIエージェントを必要最小限の権限で実行し、可能であればコンテナ化やサンドボックス技術を使用してエージェントとスキルを基盤OSや機密ユーザーデータから分離します。ネットワークフィルタリング：ファイアウォールやWebプロキシで発信トラフィックフィルタリングルールを実装し、既知の悪意IPやrentry.coドメインへのアクセスをブロックします。

タイムライン：2026年2月1日に最初の悪意スキルが報告され、5月17日にtradingview-ai-indicator-assistantスキルが公開され、6月1日にClawHubがNVIDIAとスキル選別強化の提携を発表、6月23日にUnit 42が研究を公開しました。

IOCには、IPアドレス91.92.242.30（AMOS C2）、2.26.75.16（cluwペイロードサーバー）、URL rentry.co/openclaw-code、ファイルハッシュb6c7e0bf573b1c7d9d3a05eb08d26579199515b847df984862805f44a7af8007（悪意スキル）、818aea6143282b352fdfdc0f3ebf77a36e54eb3befb5cad1a355a99ab97c6aa7（cluwペイロード）などが含まれます。