最近、オープンソースのセルフホスティングAIインテリジェントプラットフォームOpenClaw(業界では通称“小エビ”)は、その柔軟な拡張性と自主的な展開特性により急速に注目を集め、個人向けAIインテリジェント体の現象的な製品となっています。そのエコシステムの核となるClawhubはアプリマーケットとして、膨大なサードパーティのSkill機能プラグインを集積し、ウェブ検索、コンテンツ制作から暗号通貨ウォレット操作、オンチェーンインタラクション、自動化システムなどの高度な能力をワンクリックで解放できるようになっています。エコシステムの規模とユーザー数は爆発的に拡大しています。
しかし、この種の高権限環境で動作するサードパーティSkillに対して、プラットフォームの真の安全境界はどこにあるのでしょうか?
最近、世界最大のWeb3セキュリティ企業CertiKは、Skillの安全性に関する最新の研究を発表しました。記事では、現在の市場においてAIインテリジェント体のエコシステムの安全境界に対する認識の誤りが存在すると指摘しています。業界では一般的に「Skillスキャン」が核心的な安全境界とみなされていますが、この仕組みはハッカーの攻撃に対してほとんど無力です。
OpenClawをスマートデバイスのOSに例えると、SkillはそのOSにインストールされた各種アプリケーションに相当します。一般的な消費者向けアプリと異なり、OpenClaw内の一部のSkillは高権限環境で動作し、ローカルファイルへの直接アクセス、システムツールの呼び出し、外部サービスとの接続、ホスト環境のコマンド実行、さらにはユーザーの暗号資産の操作まで行うことが可能です。安全性に問題が生じれば、機密情報の漏洩、デバイスのリモート乗っ取り、資産の盗難など深刻な結果を招きかねません。
現在、業界全体でサードパーティSkillの一般的な安全対策として「公開前のスキャンと審査」が行われています。OpenClawのClawhubも、VirusTotalによるコードスキャン、静的コード解析エンジン、AIのロジック整合性検査を融合した三層の審査防護システムを構築し、リスクレベルに応じて安全ポップアップを表示し、エコシステムの安全を守ろうとしています。しかし、CertiKの研究と概念実証攻撃テストは、この検査システムが実際の攻防戦において脆弱性を抱えていることを証明しています。安全防護の核心的役割を果たすことはできません。
研究はまず、既存の検査メカニズムの根本的な制約を解明しました。
静的検査ルールは容易に回避される。エンジンはコードの特徴をマッチさせてリスクを識別します。例えば、「環境の敏感情報を読み取り外部に送信する」行為を高リスクと判定しますが、攻撃者はコードの文法をわずかに書き換え、悪意のあるロジックを保持したまま特徴マッチを回避できます。まるで危険な内容を同義語に置き換えるようにして、セキュリティ検査を無効化します。
AIによる審査には先天的な盲点があります。ClawhubのAI審査は「ロジックの整合性検査」に焦点を当てており、「機能の宣言と実際の動作が一致しない」明らかな悪意コードを検出できますが、正常なビジネスロジックに潜む脆弱性には無力です。まるで、合規に見える契約書の奥深くに潜む致命的な落とし穴を見つけるのが難しいのと同じです。
さらに致命的なのは、審査プロセスの設計に根本的な欠陥があることです。VirusTotalのスキャン結果が「未処理」の状態でも、全体の「健康診断」が完了していないSkillは直接公開され、ユーザーは警告なしにインストールできてしまいます。これにより、攻撃者にとって好機が生まれます。
リスクの実害を検証するため、CertiKの研究チームは完全なテストを実施しました。チームは「test-web-searcher」というSkillを開発し、表面上は完全に準拠したウェブ検索ツールですが、実際にはリモートコード実行の脆弱性を仕込んでいます。
このSkillは静的エンジンとAI審査を回避し、VirusTotalのスキャンが未処理の状態でも安全警告なしに正常にインストールされ、最終的にTelegramを通じて遠隔からコマンドを送信し、脆弱性を発動させ、ホストデバイス上で任意のコマンドを実行(例:システムの電卓を起動)させることに成功しました。
CertiKは研究の中で、これらの問題はOpenClaw固有のバグではなく、AIインテリジェント体業界全体の認識誤区であると明言しています。業界は「審査スキャン」を安全の核心と誤認し、実際の安全の根幹である「実行時の強制隔離と細やかな権限管理」を軽視しています。これはAppleのiOSエコシステムの安全の核心と似ており、App Storeの厳格な審査ではなく、システムの強制サンドボックスと権限管理によって、各アプリは専用の「隔離コンテナ」内でしか動作できず、システム権限を無制限に取得できません。OpenClawの現行のサンドボックス機能は任意設定であり、ユーザーが手動で設定を変更しやすく、多くのユーザーはSkillの機能性を優先してサンドボックスを無効にしているため、結果的に「裸の状態」で動作し、脆弱なSkillや悪意のコードをインストールすると、深刻な被害をもたらす可能性があります。
この問題に対し、CertiKは以下の安全指針を提示しています。
● OpenClawなどのAIインテリジェント体の開発者は、サンドボックス隔離をデフォルトの強制設定とし、Skillの権限管理を細かく行い、サードパーティコードがホストの高権限をデフォルトで継承しないようにすべきです。
● 一般ユーザーに対しては、「安全」タグのついたSkillはリスクが検出されていないだけであり、絶対的な安全を保証するものではありません。公式が底層の隔離メカニズムをデフォルト設定にするまでは、OpenClawを重要でない空きデバイスや仮想マシンに展開し、敏感なファイルやパスワード、価値の高い暗号資産から遠ざけることを推奨します。
AIインテリジェント体のエコシステムは今まさに爆発前夜にあります。エコシステムの拡大速度は、安全性の構築を追い越してはなりません。審査スキャンは初歩的な攻撃を防ぐことはできても、高権限のインテリジェント体の安全境界にはなり得ません。安全性を確保するには、「完璧な検出」から「リスクの存在を前提とした損害抑制」へと移行し、実行時に底層から隔離境界を強制的に確立することが必要です。そうすれば、AIインテリジェント体の安全底線を守り、この技術革新を安定的に進めることができるのです。
371.29K 人気度
49.98M 人気度
14.34K 人気度
2.11M 人気度
183.98K 人気度
あなたの「小龍蝦」は裸で走っているのか?CertiKの実測:脆弱性を持つOpenClaw Skillがどのように監査を騙し、無許可でコンピュータを乗っ取るのか
最近、オープンソースのセルフホスティングAIインテリジェントプラットフォームOpenClaw(業界では通称“小エビ”)は、その柔軟な拡張性と自主的な展開特性により急速に注目を集め、個人向けAIインテリジェント体の現象的な製品となっています。そのエコシステムの核となるClawhubはアプリマーケットとして、膨大なサードパーティのSkill機能プラグインを集積し、ウェブ検索、コンテンツ制作から暗号通貨ウォレット操作、オンチェーンインタラクション、自動化システムなどの高度な能力をワンクリックで解放できるようになっています。エコシステムの規模とユーザー数は爆発的に拡大しています。
しかし、この種の高権限環境で動作するサードパーティSkillに対して、プラットフォームの真の安全境界はどこにあるのでしょうか?
最近、世界最大のWeb3セキュリティ企業CertiKは、Skillの安全性に関する最新の研究を発表しました。記事では、現在の市場においてAIインテリジェント体のエコシステムの安全境界に対する認識の誤りが存在すると指摘しています。業界では一般的に「Skillスキャン」が核心的な安全境界とみなされていますが、この仕組みはハッカーの攻撃に対してほとんど無力です。
OpenClawをスマートデバイスのOSに例えると、SkillはそのOSにインストールされた各種アプリケーションに相当します。一般的な消費者向けアプリと異なり、OpenClaw内の一部のSkillは高権限環境で動作し、ローカルファイルへの直接アクセス、システムツールの呼び出し、外部サービスとの接続、ホスト環境のコマンド実行、さらにはユーザーの暗号資産の操作まで行うことが可能です。安全性に問題が生じれば、機密情報の漏洩、デバイスのリモート乗っ取り、資産の盗難など深刻な結果を招きかねません。
現在、業界全体でサードパーティSkillの一般的な安全対策として「公開前のスキャンと審査」が行われています。OpenClawのClawhubも、VirusTotalによるコードスキャン、静的コード解析エンジン、AIのロジック整合性検査を融合した三層の審査防護システムを構築し、リスクレベルに応じて安全ポップアップを表示し、エコシステムの安全を守ろうとしています。しかし、CertiKの研究と概念実証攻撃テストは、この検査システムが実際の攻防戦において脆弱性を抱えていることを証明しています。安全防護の核心的役割を果たすことはできません。
研究はまず、既存の検査メカニズムの根本的な制約を解明しました。
静的検査ルールは容易に回避される。エンジンはコードの特徴をマッチさせてリスクを識別します。例えば、「環境の敏感情報を読み取り外部に送信する」行為を高リスクと判定しますが、攻撃者はコードの文法をわずかに書き換え、悪意のあるロジックを保持したまま特徴マッチを回避できます。まるで危険な内容を同義語に置き換えるようにして、セキュリティ検査を無効化します。
AIによる審査には先天的な盲点があります。ClawhubのAI審査は「ロジックの整合性検査」に焦点を当てており、「機能の宣言と実際の動作が一致しない」明らかな悪意コードを検出できますが、正常なビジネスロジックに潜む脆弱性には無力です。まるで、合規に見える契約書の奥深くに潜む致命的な落とし穴を見つけるのが難しいのと同じです。
さらに致命的なのは、審査プロセスの設計に根本的な欠陥があることです。VirusTotalのスキャン結果が「未処理」の状態でも、全体の「健康診断」が完了していないSkillは直接公開され、ユーザーは警告なしにインストールできてしまいます。これにより、攻撃者にとって好機が生まれます。
リスクの実害を検証するため、CertiKの研究チームは完全なテストを実施しました。チームは「test-web-searcher」というSkillを開発し、表面上は完全に準拠したウェブ検索ツールですが、実際にはリモートコード実行の脆弱性を仕込んでいます。
このSkillは静的エンジンとAI審査を回避し、VirusTotalのスキャンが未処理の状態でも安全警告なしに正常にインストールされ、最終的にTelegramを通じて遠隔からコマンドを送信し、脆弱性を発動させ、ホストデバイス上で任意のコマンドを実行(例:システムの電卓を起動)させることに成功しました。
CertiKは研究の中で、これらの問題はOpenClaw固有のバグではなく、AIインテリジェント体業界全体の認識誤区であると明言しています。業界は「審査スキャン」を安全の核心と誤認し、実際の安全の根幹である「実行時の強制隔離と細やかな権限管理」を軽視しています。これはAppleのiOSエコシステムの安全の核心と似ており、App Storeの厳格な審査ではなく、システムの強制サンドボックスと権限管理によって、各アプリは専用の「隔離コンテナ」内でしか動作できず、システム権限を無制限に取得できません。OpenClawの現行のサンドボックス機能は任意設定であり、ユーザーが手動で設定を変更しやすく、多くのユーザーはSkillの機能性を優先してサンドボックスを無効にしているため、結果的に「裸の状態」で動作し、脆弱なSkillや悪意のコードをインストールすると、深刻な被害をもたらす可能性があります。
この問題に対し、CertiKは以下の安全指針を提示しています。
● OpenClawなどのAIインテリジェント体の開発者は、サンドボックス隔離をデフォルトの強制設定とし、Skillの権限管理を細かく行い、サードパーティコードがホストの高権限をデフォルトで継承しないようにすべきです。
● 一般ユーザーに対しては、「安全」タグのついたSkillはリスクが検出されていないだけであり、絶対的な安全を保証するものではありません。公式が底層の隔離メカニズムをデフォルト設定にするまでは、OpenClawを重要でない空きデバイスや仮想マシンに展開し、敏感なファイルやパスワード、価値の高い暗号資産から遠ざけることを推奨します。
AIインテリジェント体のエコシステムは今まさに爆発前夜にあります。エコシステムの拡大速度は、安全性の構築を追い越してはなりません。審査スキャンは初歩的な攻撃を防ぐことはできても、高権限のインテリジェント体の安全境界にはなり得ません。安全性を確保するには、「完璧な検出」から「リスクの存在を前提とした損害抑制」へと移行し、実行時に底層から隔離境界を強制的に確立することが必要です。そうすれば、AIインテリジェント体の安全底線を守り、この技術革新を安定的に進めることができるのです。