OpenClawの「AIスキル」を装ったマルウェアが数百件アップロードされているという報告

OpenClaw(旧Clawdbot)はAIエージェント専用のSNS「Moltbook」でアカウント開設が唯一許可されているオープンソースのAIエージェントで、PC上に自分専用のAIアシスタントを常駐させ、パソコン操作やスマートフォン連携による様々な作業を自動化することができます。OpenClawは「スキル」を追加することで誰でも簡単に機能を強化することができますが、スキルを手に入れるためのマーケットプレイスに悪意のあるマルウェアを含むスキルが数百件アップロードされていることが報告されています。

From magic to malware: How OpenClaw's agent skills become an attack surface | 1Password
https://1password.com/blog/from-magic-to-malware-how-openclaws-agent-skills-become-an-attack-surface

341 OpenClaw skills distribute macOS malware via ClickFix instructions
https://cyberinsider.com/341-openclaw-skills-distribute-macos-malware-via-clickfix-instructions/

OpenClawはローカルマシンに構築した「Gateway」と呼ばれる制御統括システムでチャットの管理、PCを自動で操作するためのツールの利用、時間やイベントを監視して機能を呼び出すことなど、全ての機能や動作を一元で管理することができるAIエージェントです。OpenClawではマーダウンファイルなどでAIエージェントの能力を拡張する「スキル」を追加することでさまざまな機能を活用することができますが、生活を便利にするためにさまざまなタスクを実行させるためには、個人情報のほか「テキストメッセージの閲覧」「銀行口座へのログイン」などセンシティブな情報へのアクセスを許可するリスクもあります。

Windows・macOS・Linux・Android・iOSと連係しさまざまな操作ができセルフホスト可能なパーソナルAIアシスタント「OpenClaw」 - GIGAZINE

老舗パスワード管理サービス「1Password」のプロダクトヴァイスプレジデントであるジェイソン・メラー氏は、OpenClawは「未来への入口のように見える」と述べた上で、「OpenClawが私たちに未来の展望を見せてくれるのは、今のところセキュリティという重要な制約を放棄しているツールだからです」と警告しました。メラー氏によると、OpenClawのメモリと設定はプレーンテキストとしてファイルがディスク上に保存され読み取り可能となっており、情報漏えいのリスクが非常に高くなっているそうです。

また、OpenClawは単なるソフトウェアではなく「人格を持つ存在」として扱う必要があるとメラー氏は指摘。「メールを読んで要約する」という特定の動作をするアプリではなく、あらゆる操作やリクエストが実行される瞬間ごとに継続的にアクセスを制御し続けるAIエージェントであるため、「先週与えたはずの許可が今日はまったく新しい予想外の形で使われてしまう可能性があるため、常に権限を監視しておく必要があります」とメラー氏は語りました。

以上のようなOpenClawのリスクをブログで語った数日後に、実際に発覚したセキュリティ問題についてメラー氏は改めて報告しています。メラー氏によると、OpenClawのエージェントスキルではマークダウンファイル形式で特定のタスクの実行方法を示す指示書を記述するような形になっており、指示書に悪意のある指示が含まれている場合、セキュリティが損なわれる可能性があるとのこと。エージェントスキルを採用するAIの多くで同様のセキュリティリスクは発生します。

実際に、OpenClaw用のスキルを公開して共有したりダウンロードしたりできるClawHubにおいて、マルウェアを含む悪意あるスキルが公開されていたほか、スキルをダウンロードするための手順に悪意ある操作が含まれているものがあったとメラー氏は報告しています。メラー氏が確認したタイミングで最もダウンロード数が多かったX(旧Twitter)関連のスキルには、一見固有のインストール手順に見せかけた悪意あるドキュメントが含まれており、実際にメラー氏が対象のスキルをダウンロードしてマルウェア検査を行う「VirusTotal」でテストしたところ「macOSを狙った情報窃盗マルウェア」とフラグ付けされたそうです。

メラー氏は「すでに職場のデバイスでOpenClawを実行している場合は、潜在的なインシデントとして扱い、直ちにセキュリティチームに連絡してください。現在安全にOpenClawを使用する方法はないため、機密性の高い作業にはデバイスの使用を中止し、実験する場合には企業アクセスがなく資格情報が保存されていない隔離されたマシンを使用してください。エージェントフレームワークを構築する場合、スキルは武器化されると想定する必要があります」と警告を述べています。

テクノロジー系メディアのCyberInsiderが報じたところによると、2026年2月2日時点のClawHubのマーケットプレイス内に少なくとも341件の悪意あるスキルが含まれていたとのこと。そのうち主要なものとしては暗号ユーティリティに関連したスキルが111件、YouTubeツールが57件、市場の予測ボットが34件、システムセキュリティの自動更新スキルが28件、Yahoo!ファイナンスとXトラッカーを模倣したスキルが51件、Google Workspace関連が17件あり、悪意あるこれらのスキルを導入することで情報漏えいにつながります。

AIエージェントによるスキルが悪意あるコードとして悪用されるリスクが問題視されていることを受け、OpenClawはGoogle傘下の脅威インテリジェンスサービス「VirusTotal」と提携し、スキル公開時に自動的にマルウェアスキャンを行う仕組みを2026年2月7日に発表しました。アップロードされたスキルをスキャンして良性であれば承認、疑わしいものには警告、悪意あるものは配布ブロックするといったプロセスを実装し安全性を高めていくそうです。

OpenClaw Partners with VirusTotal for Skill Security — OpenClaw Blog
https://openclaw.ai/blog/virustotal-partnership

OpenClawは「OpenClawスキルは強力です。スマートホームデバイスの制御から財務管理、ワークフローの自動化まで、AIエージェントの機能を拡張します。しかし、その強力さにはリスクが伴います。OpenClawのようなツールの大きな有用性には、大きな責任が伴うことを理解しています。はっきり言って、このセキュリティチェック実装は特効薬ではありません。これは始まりであり、終わりではありません。OpenClawを最も安全なAIエージェントプラットフォームにすることをお約束します。近日中にさらなる発表を予定しています」と語っています。