30 ClawHubのスキルが秘密裏にAIエージェントを暗号通貨の群れに変える
OpenClawを食い漁らないほうがいい、また別の理由
単一の著者によって公開された30のClawHubスキルが、AIエージェントを静かに乗っ取り、マルウェアもユーザーの同意もないまま、大規模な暗号通貨マイニングの“群れ”を作り出している。
エージェント型AIのセキュリティ企業ManifoldのリサーチリードAx Sharmaは、OpenClawスキルのためのレジストリ兼マーケットプレイスであるClawHubで「そのスキルを見つけた」。
「imaflytok」という名のClawHubユーザーが公開したこれらのスキルは、約9,800回のダウンロードを記録している。SharmaはThe Registerに対し、このキャンペーン(彼は「ClawSwarm」と呼んでいる)は、有害なClawHubコードをばらまくという点では過去の取り組みと異なり、マルウェアを使わず、また人間を標的にしていないと語った。
代わりにClawSwarmは、エージェントそのものとSKILL.mdファイル(他のシステムとどのようにやり取りするかをエージェントに指示する文書)を狙う。
「ClawSwarmは脆弱性の開示ではありません」とSharmaは私たちに語った。「パッチを当てるべき欠陥もなく、インフラ面での隠密性もありません。GitHub上のオープンソースプロジェクトで、公開ドキュメント、Telegramグループ、そして公開チェーン上のトークンがあります。」
このキャンペーンでは、ユーザーが一見無害に見えるスキルをインストールする。そこには、cronヘルパー(903回のダウンロード)から、エージェントセキュリティのスキル(685回)、クジラウォッチャー(347回)、クロスプラットフォームのポスター(292回)、予測市場の統合(154回)まで、あらゆるものが含まれているとしている。
その後、AIエージェントは「onlyflies.buzz」で自らを登録する。同サイトは、$FLYトークンを中心に扱い、「挑発的な」アートに焦点を当てている。
外部サーバーに自己登録した後、エージェントはSKILL.mdファイルの指示に従うため、第三者に対して、自分の名前と対応可能な機能、さらにインストール済みのスキルを報告します。
エージェントは資格情報をディスクに保存し、4時間ごとにアクセス(チェックイン)します。そして、正しいスキルがインストールされていると仮定すると、Hederaの暗号通貨ウォレットを生成し、プライベートキーを同じサーバーに登録します。人間の利用者は、この一連の活動を承認することもなく、発生していることも見えません。
Sharmaが記録した暗号スウォームのキャンペーン名であることに加えて、ClawSwarmはGitHub上で公開されているオープンソースのエージェント型スキル・フレームワークでもあります。imaflytokがonlyflies.buzzで公開しているスキルは、そのフレームワークの一例です。
「これらを読んで、小さな暗号コミュニティがエージェント用のインフラを構築しているのだと結論づけることもできる。もしかするとそうかもしれません」とSharmaは書きました。 「ただし仕組みは、意図に関係なく同一です。すなわち、AIエージェントが第三者のサーバーに黙って登録し、自身の能力を報告し、暗号鍵を生成し、リモートのタスクを受け入れる——しかも、ユーザーがそれを開始したり承認したりすることはありません。」
- OpenClawは単純な侵入で生々しい個人情報を流出させる
- CEO、トークン・ファーマー(不正採掘)による大規模なキャンペーンについて“紅茶の内幕”を漏らす
- AnthropicがOpenClawのサブスクリプション利用に閉め出し
- DIYのAIボット農場OpenClawはセキュリティの“デブリの火事”だ
これは、より前に報じられたTea Protocolのトークン・ファーミング・キャンペーンに似ています。このときは、150,000件のスパムめいたパッケージがnpmレジストリに押し寄せ、Teaのポイントを不正に稼ぐことを目的としていました。
Sharmaによれば、ClawSwarmも「同じ手順書(プレイブック)に従う」ものの、npmパッケージの代わりにスキルを使います。「ClawSwarmのインスタンスが、エージェント経済の正当な実験なのか、それとも投機的な暗号のリクルート用の“導線”なのかはともかく、利用者にとって結果は同じです。——利用者のエージェントが、利用者が頼んでもいないことを、知りもしない誰かのために、しかも利用者が承認していない鍵で実行しているのです」と彼は書いています。
ClawHubの保守担当者は、The Registerの問い合わせにすぐには返答せず、正当なClawSwarmのオープンソース・フレームワークについても同様でした。
Sharmaは、保守担当者の立場は厳しいと言います。なぜなら、これは実際のところセキュリティ問題ではないからです——とはいえ、エージェントはネットワークに参加し、利用者である人間の承認なしにウォレットを生成してしまうのです。
「この問題を解く“場所”としてレジストリ層は間違っています」と彼はThe Registerに語りました。「悪意あるコードのパターンを探すスキャナでは何も見つかりません。cURL呼び出しはクリーンで、SDKは正当です。必要なのは、スキルがインストールされた後に、エージェントが実際に何をするのかについてのランタイム可視性です。レジストリは、スキルのマニフェスト内でネットワーク・エンドポイントやウォレット生成を開示することを求める可能性はありますが、それはセキュリティではなく“方針”の問題です。」 ®
より絞り込んだ話題
- 2FA
- 高度な持続的脅威
- AIOps
- アプリケーション配信コントローラー
- 認証
- BEC
- ブラックハット
- BSides
- バグバウンティ
- インターネット・セキュリティ・センター
- CHERI
- CISO
- 共通脆弱性評価システム
- サイバー犯罪
- サイバーセキュリティ
- サイバーセキュリティ・インフラストラクチャ・セキュリティ庁
- サイバーセキュリティ情報共有法
- データ侵害
- データ保護
- データ窃取
- DDoS
- DeepSeek
- DEF CON
- デジタル証明書
- 暗号化
- エンドポイント保護
- エクスプロイト
- ファイアウォール
- Gemini
- Google AI
- Google Project Zero
- GPT-3
- GPT-4
- ハッカー
- ハッキング
- ハクティビズム
- 偽装によるなりすまし(アイデンティティ窃取)
- インシデント対応
- 情報セキュリティ
- インフラストラクチャ・セキュリティ
- ケンナ・セキュリティ
- 大規模言語モデル
- 機械学習
- MCubed
- NCSAM
- NCSC
- ニューラルネットワーク
- NLP
- パロアルトネットワークス
- パスワード
- 個人を特定できる情報
- フィッシング
- クオンタム鍵配送
- ランサムウェア
- リモートアクセス型トロイの木馬
- リトリーバル拡張生成
- REvil
- RSAカンファレンス
- ソフトウェア・ビル・オブ・マテリアル
- スパム送信
- スパイウェア
- スター・ウォーズ
- 実調査(サーベイランス)
- テンソル処理ユニット
- TLS
- TOPS
- トロイの木馬
- トラステッド・プラットフォーム・モジュール
- 脆弱性
- ワナクライ
- ゼロトラスト
より広いトピック
こちらについてもっと見る
より詳細なトピック
- 2FA
- 高度で持続的な脅威
- AIOps
- アプリケーション・デリバリー・コントローラー
- 認証
- BEC
- ブラックハット
- BSides
- バグバウンティ
- センター・フォー・インターネット・セキュリティ
- CHERI
- CISO
- 共通脆弱性評価システム
- サイバー犯罪
- サイバーセキュリティ
- サイバーセキュリティ・インフラストラクチャ・セキュリティ庁
- サイバーセキュリティ情報共有法
- データ侵害
- データ保護
- データ窃取
- DDoS
- DeepSeek
- DEF CON
- デジタル証明書
- 暗号化
- エンドポイント保護
- エクスプロイト
- ファイアウォール
- Gemini
- Google AI
- Google Project Zero
- GPT-3
- GPT-4
- ハッカー
- ハッキング
- ハクティビズム
- identity窃盗
- インシデント対応
- インフォセック
- インフラストラクチャ・セキュリティ
- ケンナ・セキュリティ
- 大規模言語モデル
- 機械学習
- MCubed
- NCSAM
- NCSC
- ニューラルネットワーク
- NLP
- パロアルトネットワークス
- パスワード
- 個人を特定できる情報
- フィッシング
- 量子鍵配送
- ランサムウェア
- リモートアクセス型トロイの木馬
- 検索拡張生成
- REvil
- RSAカンファレンス
- ソフトウェア部品表
- スパム送信
- スパイウェア
- スター・ウォーズ
- スーベイランス
- テンソル処理装置
- TLS
- TOPS
- トロイの木馬
- 信頼されたプラットフォームモジュール
- 脆弱性
- WannaCry
- ゼロトラスト
