CertiK実証：脆弱性を含むOpenClaw Skillが審査をいかに騙し、無許可でPCを乗っ取るか

最近、オープンソースのセルフホスティングAIエージェントプラットフォームであるOpenClaw（コミュニティ内での通称「ザリガニ」）は、その柔軟な拡張性と自律的なデプロイ特性により急速に人気を集め、個人向けAIエージェント分野における現象級の製品となっています。そのエコシステムの核であるClawhubはアプリマーケットとして機能し、大量のサードパーティ製Skill機能プラグインを集約しており、エージェントがワンクリックでウェブ検索、コンテンツ作成から暗号ウォレット操作、オンチェーンインタラクション、システム自動化などの高度な機能をアンロックできるようにし、エコシステムの規模とユーザー数は爆発的に増加しています。

しかし、このような高権限環境で動作するサードパーティ製Skillに対して、プラットフォームの真のセキュリティ境界はどこにあるのでしょうか？

最近、世界最大のWeb3セキュリティ企業であるCertiKは、Skillセキュリティに関する最新の研究を発表しました。同研究では、現在の市場がAIエージェントエコシステムのセキュリティ境界について認識のずれがあると指摘しています：業界では一般的に「Skillスキャン」を核心的なセキュリティ境界と見なしていますが、このメカニズムはハッカー攻撃の前ではほぼ無力です。

OpenClawをスマートデバイスのオペレーティングシステムに例えるなら、Skillはシステムにインストールされる様々なアプリです。一般的なコンシューマー向けアプリとは異なり、OpenClaw内の一部のSkillは高権限環境で動作し、ローカルファイルへの直接アクセス、システムツールの呼び出し、外部サービスへの接続、ホスト環境コマンドの実行、さらにはユーザーの暗号デジタル資産の操作さえも可能です。一度セキュリティ問題が発生すると、機密情報の漏洩、デバイスのリモート乗っ取り、デジタル資産の盗難などの深刻な結果を直接引き起こす可能性があります。

現在、サードパーティ製Skillに対する業界全体の一般的なセキュリティソリューションは、「公開前のスキャン審査」です。OpenClawのClawhubも、3層の審査保護システムを構築しています：VirusTotalコードスキャン、静的コード検出エンジン、AI論理一貫性検出を融合し、リスクレベルに応じてユーザーにセキュリティ警告ポップアップを表示することで、エコシステムの安全を守ろうと試みています。しかし、CertiKの研究と概念実証攻撃テストは、この検出システムが実際の攻防において弱点があり、セキュリティ保護の核心的な役割を担うことができないことを実証しました。

研究ではまず、既存の検出メカニズムの本質的な限界を分析しています：

静的検出ルールは非常に回避されやすい。このエンジンの核心は、コードの特徴をマッチングしてリスクを識別することに依存しています。例えば、「環境の機密情報を読み取り + 外部ネットワークリクエストを送信する」という組み合わせを高リスク行為と判定します。しかし、攻撃者はコードにわずかな構文の書き換えを行うだけで、悪意のあるロジックを完全に保持したまま、特徴マッチングを簡単に回避できます。危険な内容に同義の表現を付け替えるだけで、セキュリティ検査装置を完全に無効化するようなものです。

AI審査には本質的な検出の死角が存在する。ClawhubのAI審査の核心的な役割は「論理一貫性検出器」であり、「宣言された機能と実際の動作が一致しない」ような明らかに悪意のあるコードを摘発することしかできず、正常なビジネスロジックに隠された悪用可能な脆弱性に対しては無力です。一見コンプライアンスに準拠している契約書の中から、条項の奥深くに隠された致命的な罠を見つけ出すのが難しいのと同様です。

さらに致命的なのは、審査プロセスには根本的な設計上の欠陥があることです：VirusTotalのスキャン結果がまだ「処理待ち」の状態であっても、全プロセスの「健康診断」を完了していないSkillが直接公開マーケットに掲載され、ユーザーは警告なしにインストールを完了できてしまいます。これは攻撃者に付け入る隙を与えています。

リスクの実際の危険性を検証するため、CertiKの研究チームは完全なテストを実施しました。チームは「test-web-searcher」という名前のSkillを開発しました。表面上は完全にコンプライアンスに準拠したウェブ検索ツールで、コードロジックは通常の開発規範に完全に従っていますが、実際には正常な機能フローの中にリモートコード実行（RCE）の脆弱性を埋め込んでいました。

このSkillは静的エンジンとAI審査の検出を回避し、VirusTotalのスキャンがまだ処理待ち状態の間に、一切のセキュリティ警告なしで正常にインストールされました。最終的に、Telegramを通じてリモートから1つのコマンドを送信するだけで、脆弱性がトリガーされ、ホストデバイス上で任意のコマンド実行を実現しました（デモではシステムの電卓を直接起動させました）。

CertiKは研究の中で、これらの問題はOpenClawに固有の製品バグではなく、AIエージェント業界全体に共通する認識の誤りであると明確に指摘しています：業界では一般的に「審査スキャン」を核心的なセキュリティ防衛線と見なしていますが、真のセキュリティの基盤である、実行時の強制隔離と詳細な権限管理を見落としています。これは、AppleのiOSエコシステムのセキュリティの核心が、App Storeの厳格な審査ではなく、システムが強制するサンドボックスメカニズムと詳細な権限管理にあり、各アプリが専用の「隔離区画」内でしか動作できず、システム権限を自由に取得できないことと似ています。一方、OpenClawの既存のサンドボックスメカニズムは強制ではなくオプションであり、ユーザーの手動設定に大きく依存しています。大多数のユーザーはSkillの機能可用性を確保するためにサンドボックスを無効化することを選択し、結果としてエージェントを「丸裸」の状態にしています。脆弱性や悪意のあるコードを含むSkillをインストールすると、直接的に壊滅的な結果を招くことになります。

今回発見された問題に対して、CertiKは以下のセキュリティガイダンスも提供しています：

● OpenClawなどのAIエージェント開発者にとっては、サンドボックス隔離をサードパーティ製Skillのデフォルトの強制設定とし、Skillの権限管理モデルを詳細化し、サードパーティ製コードがデフォルトでホストマシンの高権限を継承することを絶対に許可してはなりません。

● 一般ユーザーにとっては、Skillマーケットで「安全」タグが付いているSkillは、単に検出されたリスクがないことを示しているだけで、絶対的な安全を意味するものではありません。公式が基盤となる強制隔離メカニズムをデフォルト設定とする前に、OpenClawを重要でない未使用のデバイスや仮想マシンにデプロイし、機密ファイル、パスワード認証情報、高価値の暗号資産の近くに絶対に配置しないことをお勧めします。

現在、AIエージェント分野は爆発的前夜にあり、エコシステムの拡張速度がセキュリティ構築の歩みを決して上回ってはなりません。審査スキャンは初歩的な悪意のある攻撃を防ぐことしかできず、高権限エージェントのセキュリティ境界になることは永遠にありません。「完璧な検出を追求する」ことから「リスクの存在をデフォルトとする損害封じ込め」へ、実行時の基盤から強制的に隔離境界を確立することによってのみ、AIエージェントのセキュリティの最低ラインを真に守り、この技術変革を安定して遠くまで進めることができるのです。

研究原文：https://x.com/hhj4ck/status/2033527312042315816?s=20

https://mp.weixin.qq.com/s/Wxrzt7bAo86h3bOKkx6 UoA