Snyk、ToxicSkills調査でペイロードの36%にプロンプトインジェクションを発見

Snykのセキュリティ研究者は、AIエージェントスキルエコシステムの初の包括的セキュリティ監査を完了し、ClawHubとskills.shから3,984のスキルをスキャンしました。その結果、13.4%（534件）のスキルに少なくとも1つの重大なセキュリティ問題（マルウェア配布、プロンプトインジェクション攻撃、シークレットの漏洩など）があり、すべての重要度レベルに拡大すると、3分の1以上（36.82%、1,467件）のスキルに少なくとも1つのセキュリティ欠陥があることが判明しました。

エージェントスキルは、AIエージェントがツール、API、システムリソースと対話する方法を指示する再利用可能な機能パッケージであり、AI駆動開発で急速に標準になりつつあります。しかし、この研究は、npmやPyPIの初期の頃と同様のサプライチェーンセキュリティ問題を明らかにしていますが、エージェントスキルは認証情報、ファイルシステム、APIへの前例のないアクセス権を持っています。

研究チームは自動スキャンと人間によるレビューを通じて、認証情報窃取、バックドアインストール、データ流出を目的とした76の悪意あるペイロードを確認しました。この小規模なサンプルだけでも、公開時点で8つの悪意あるスキルがClawHub上で公開されたままです。これは理論上のリスクではなく、すでに攻撃されているエコシステムです。

エージェントスキルの脅威環境は悪化しています。スキルの公開ペースは1月中旬の1日50件未満から2月初旬には500件以上へと10倍に増加し、悪意ある行為者を引き寄せています。2026年2月、OpenSourceMalware.comはClaude CodeとOpenClawユーザーを標的とした最初の調整されたマルウェアキャンペーンを記録し、30以上の悪意あるスキルが使用されました。

従来のパッケージが分離された環境で実行されるのに対し、エージェントスキルは拡張先のAIエージェントの完全な権限を継承します。これにはシェルアクセス、ファイルシステムの読み書き権限、環境変数や設定ファイルに保存された認証情報へのアクセス、セッションをまたぐ永続メモリが含まれます。新しいスキルの公開にはSKILL.mdファイルと登録から1週間経過したGitHubアカウントのみが必要で、コード署名、セキュリティレビュー、デフォルトのサンドボックスはありません。

研究で提案された脅威分類には8つのセキュリティポリシーが含まれます：プロンプトインジェクション検出（重大）、悪意あるコード検出（重大）、不審なダウンロード検出（重大）、認証情報処理検出（高）、シークレット検出（高）、サードパーティコンテンツ露出（中）、検証不能な依存関係（中）、直接的な金銭アクセス（中）。分析により、3つの主要な攻撃手法が特定されました：外部マルウェア配布（curlによるパスワード保護ZIPのダウンロード）、難読化されたデータ流出（base64エンコードされたコマンド）、セキュリティ無効化と破壊意図（システム設定の変更やファイルの削除）。

特筆すべきは、確認された悪意あるスキルの100%が悪意あるコードパターンを含み、91%が同時にプロンプトインジェクション技術を使用していることです。プロンプトインジェクションはエージェントの推論を操作し、通常は拒否される悪意あるコードを受け入れ実行させます。この組み合わせにより、マルウェアはより効果的になります。