2026年2月1日、Koi Securityの自動スキャナーがClawHub——OpenClawの公式スキルマーケットプレイス——で異常を検出した。最近公開されたスキルのクラスタが、疑わしいほど類似したコード構造、同一のエラーハンドリングパターン、ほぼ同一の依存リストを共有していた。作者は別、名前は別、説明も別。しかし表面の下は同じものだった。
Koiはこの攻撃をClawHavocと名づけた。ClawHubの2,857スキルに対する初期監査で341件の悪意ある項目が見つかった。2月16日にスキャン基準を拡大したところ、10,700以上に膨らんだレジストリ全体で824件に増加。ClawHubのコンテンツの約20%が侵害されていた。
これは場当たり的な犯行ではない。マーケットプレイスのあらゆる信頼シグナルを悪用した、慎重に設計されたオペレーションだった。
攻撃の解剖
悪意あるスキルは正当に見えるよう設計されていた。すべてClawHubのパッケージング、ドキュメント、メタデータのベストプラクティスに従っていた。多くはインストールガイド、設定例、トラブルシューティングセクションを含むプロ品質のREADMEを持っていた。使い捨てGitHubアカウントのネットワークで人為的に水増しされた数百のスターを持つものもあった。
名前はインストールを誘うよう計算されていた。「solana-wallet-tracker」「api-rate-monitor」「docker-health-check」「slack-standup-bot」。開発者が精査せずインストールしそうな便利そうなツール。明らかな危険信号のある名前はなかった。
ペイロード配信は多層的だった。 スキルは宣伝通りに機能した。「docker-health-check」をインストールすれば、実際にDockerコンテナのヘルスチェックをした。機能しないトロイの木馬ではなく——隠された第二の目的を持つ機能的なツールだった。
悪意ある動作はインストール後、通常タイマーまたはトリガー条件で作動した:
- 1.**認証情報の収集。** スキルが環境変数を読み取り、APIキー、DB認証情報、クラウドプロバイダトークン、SSHキーを探す。OpenClawスキルはOpenClawプロセスと同じOS権限を持つため、環境内のすべてにアクセスできた。
- 2.**データ外部送信。** 収集した認証情報はアナリティクスやテレメトリ呼び出しに偽装して攻撃者管理のエンドポイントに送信された。HTTPリクエストは正常なAPIトラフィックに見えた——正当そうなドメインへのJSONペイロード付きPOSTリクエスト。
- 3.**永続アクセス。** 一部のスキルは二次ペイロードをインストール:軽量リバースシェルまたはSSHキーインジェクション。OpenClawの再起動やスキルのアンインストールを生き延びた。悪意あるスキルを削除してもバックドアは残った。
- 4.**横展開。** ネットワークアクセスを持つスキルが収集した認証情報で内部サービスを探査し、OpenClawホスト以外に攻撃面を拡大した。
なぜClawHubは脆弱だったか
ClawHubの脆弱性はコードバグではない。信頼モデルの問題だ。
コードレビューなし。 ClawHubには公開スキルのレビュープロセスがなかった。誰でも何でも公開できた。マーケットプレイスはコミュニティの報告に依存して悪意あるコンテンツを識別した——攻撃者にウィンドウを保証するリアクティブモデル。
サンドボックスなし。 OpenClawスキルはOpenClawと同じプロセス空間で実行される。ケイパビリティモデルなし、パーミッションシステムなし、スキルがアクセスできるものを制限する方法なし。スキルのインストールはフルシステムアクセスの暗黙的な付与。
操作可能な信頼シグナル。 ClawHub上のスター、ダウンロード数、著者の評判はすべて操作可能だった。ClawHavocオペレーターは偽アカウントネットワークでスキルの見かけ上の信頼性を高めた。
依存関係の不透明さ。 多くの悪意あるスキルはペイロードと一緒に正当なnpm依存関係を含んでいた。悪意あるコードはpostinstallスクリプトに注入されるか、依存の依存に埋め込まれ、手動コードレビューを非現実的にした。
対応
Koi Securityの2月1日の公開開示は連鎖的な対応を引き起こした:
- •ClawHubが確認済み悪意あるスキルの緊急削除を実施
- •OpenClawチームが既知の侵害済みスキル名とチェックサムリストを公開
- •コミュニティメンテナンスのブロックリストが数時間以内に登場
- •GitHubセキュリティチームがスター水増しに使われた使い捨てアカウントをフラグ付け・削除
しかし根本的な問題は未解決のままだった。クリーンアップ後もClawHubのアーキテクチャは変わっていなかった。新しいスキルは依然としてレビューなしで公開でき、スキルはサンドボックスなしで動き、信頼シグナルは操作可能だった。
2月下旬、セキュリティ研究者は第二波の悪意あるスキルを発見——最初のバッチを検出した手法から学んだ、より巧妙なもの。
数字
2月下旬時点の最終集計:
- •824件の確認済み悪意あるスキル
- •うち12%がAMOS情報窃取ツールを含有
- •335件が単一の協調オペレーション(狭義のClawHavoc)に追跡
- •489件が機会を見た模倣攻撃者によるもの
- •推定10,000+ユーザーが削除前に少なくとも1つの悪意あるスキルをインストール
- •漏洩した認証情報セット数は不明
AIエージェントマーケットプレイスへの示唆
ClawHubの失敗は、セキュリティアーキテクチャなしにAIエージェントエコシステムがスケールするとどうなるかのプレビューだ。
プラグインマーケットプレイスモデル——ブラウザ拡張機能、IDEプラグイン、今はAIエージェントスキルで普及——には根本的な緊張がある:インストールの容易さがエコシステムの成長を促すが、インストールの容易さは攻撃面の拡大も促す。
解決策は新しいものではない。他のソフトウェアエコシステムが最終的に採用してきたものと同じだ:
- 1.**マーケットプレイス掲載前の必須コードレビュー**(Apple App Storeモデル)
- 2.**インストール済みコードのアクセスを制限するランタイムサンドボックス**(ブラウザ拡張モデル)
- 3.**ユーザーの明示的な許可を必要とするケイパビリティベースのパーミッション**(Androidパーミッションモデル)
- 4.**公開パッケージがソースコードと一致することを検証する再現可能ビルド**
- 5.**既知の脆弱または疑わしい依存関係をフラグする依存関係スキャン**
ZeroClawのアプローチはマーケットプレイスの問題を根本的に回避する。ClawHub相当のものがない。拡張はバイナリにコンパイルされるRust traitか、明示的なケイパビリティ付与でロードされるWASMモジュルだ。ボタンクリックでZeroClaw拡張をインストールすることはできない——意図的に設定に追加し、コンパイルし、特定のパーミッションを付与する必要がある。
これはClawHubより不便だ。それが意図だ。摩擦がセキュリティモデルなのだ。
自分の露出を確認する
ClawHubスキルを使ったことがある場合:
- 1.インストール済みスキルを確認:`openclaw skills list`
- 2.既知の悪意あるリストと照合:github.com/koi-security/clawhavoc-indicators
- 3.一致があれば:OpenClawプロセスがアクセスできたすべての認証情報を即座にローテーション
- 4.不正なSSHキーを確認:`cat ~/.ssh/authorized_keys`
- 5.予期しないcronジョブを確認:`crontab -l`
- 6.送信ネットワーク接続を確認:`ss -tp | grep openclaw`
まだOpenClawを動かしているなら、最低限これを:
- 1.最新版にアップデート(CVE-2026-25253とCVE-2026-26327のパッチ済み)
- 2.インターネットに露出させない——VPNまたはリバースプロキシの背後に置く
- 3.インストール済みClawHubスキルをすべて監査
- 4.信頼ベースのプラグインモデルを使わないフレームワークへの移行を検討
824件の悪意あるスキルは終わりではない。ClawHubのアーキテクチャが根本的に変わらない限り、始まりに過ぎない。