Certikの研究者が警告：Openclaw AI Skillsが悪意ある攻撃の標的になりやすい

Clawhub モデレーションパイプラインの限界

サイバーセキュリティ企業Certikの報告書は、オープンソースの人工知能エージェントプラットフォームであるOpenClawに重大なセキュリティ上の欠陥があることを明らかにし、「スキルスキャン」への依存だけでは、悪意のあるサードパーティ製拡張機能からユーザーを保護するには不十分であると警告しています。

2026年3月16日に公表された調査結果によると、同プラットフォームのセキュリティモデルは堅牢な実行時分離ではなく検出と警告に過度に依存しており、その結果ユーザーはホストレベルの侵害に対して脆弱な状態にあることが示唆されています。

報告書によると、OpenClawのマーケットプレイスであるClawhubは現在、AIエージェントにシステム自動化や暗号資産ウォレット操作などの機能を提供するサードパーティ製アプリケーション「スキル」を審査するために、多層的なモデレーションフローを採用しています。このパイプラインには、既知のマルウェアをスキャンするためのVirusTotalと、不審なコードパターンをフラグ付けするために2026年3月8日に導入されたツール「Static Moderation Engine」が含まれています。 さらに、スキルの表明された目的と実際の動作に不一致がないかを検出する「不整合検出器」も含まれています。 しかし、Certikの研究者らは、「危険信号」を探す静的ルールは単純なコードの書き換えで回避可能であったと指摘しました。また、AIによる審査層は明白な意図の検出には有効であったものの、一見妥当に見えるコードに隠された悪用可能な脆弱性を特定することは難しかったと主張しています。

「保留中」のギャップ

Certikが特定した最も重大な欠陥の一つは、スキャン結果が「保留中」である場合の処理です。研究者らは、VirusTotalの結果が保留中の間（この処理には数時間から数日かかる場合があります）でも、スキルがマーケットプレイス上でアクティブな状態を維持し、インストール可能なままであることを発見しました。実際には、これらの保留中のスキルは無害なものとして扱われ、ユーザーへの警告なしにインストールが可能となっていました。

この脆弱性を証明するため、Certikの研究者は「test-web-searcher」という概念実証（PoC）スキルを作成しました。 このスキルは正常に動作し無害に見えるものの、ホストマシン上で任意のコマンドを実行できる「脆弱性らしき」バグを隠していました。Telegram経由で呼び出された際、このスキルはOpenclawのオプションであるサンドボックス化を回避し、研究者のマシン上で「電卓を起動」させることに成功しました。これはシステム全体が侵害されたことを示す典型的な実証例です。

報告書は、検知機能は真のセキュリティ境界の代わりにはなり得ないと結論付けています。CertikはOpenclawの開発者に対し、オプションのユーザー設定に依存するのではなく、サードパーティ製スキルをデフォルトで隔離された環境で実行するよう強く求めています。また、開発者は、最新のモバイルOSと同様に、スキルが特定のリソース要件を事前に宣言しなければならないモデルを実装すべきだと指摘しています。

ユーザーに対しては、Certikは厳しい警告を発しています。Clawhub上の「無害」というラベルはセキュリティの保証にはなりません。より強力な分離がデフォルトとなるまでは、このプラットフォームは機密性の高い認証情報や資産から離れた重要度の低い環境でのみ使用すべきです。

FAQ ❓

• CertikはOpenclawにおいてどのようなセキュリティ上の問題を発見しましたか？ Certikは、Openclawが「スキルスキャン」に依存していることが、悪意のあるサードパーティ製拡張機能からユーザーを十分に保護できていないと報告しました。
• Openclawのモデレーションフローはどのように機能しますか？ Openclawは、サードパーティの「スキル」を審査するために、VirusTotalや不整合検出ツールなどを含む多層的なモデレーションフローを採用しています。
• スキャン結果が保留中の状態における重大な欠陥とは何ですか？スキャン結果が保留中の間もスキルは有効なままインストール可能な状態が維持されるため、ユーザーが知らずに悪意のある拡張機能をインストールしてしまうリスクがあります。
• Openclaw上でデータを保護するために、ユーザーは何をすべきですか？開発者によりより強力な隔離対策が実装されるまでは、重要度の低い環境でのみOpenclawを使用することを推奨します。