あなたの「スマートデバイス」は無防備な状態？CertiK実証実験：脆弱性を含むOpenClaw Skillが審査をすり抜け、無許可でコンピュータを乗っ取る方法

最近、オープンソースのセルフホスティングAIエージェントプラットフォームであるOpenClaw（業界では「ロブスター」の愛称で親しまれている）は、その柔軟な拡張性と自律的なデプロイ特性により急速に人気を集め、個人向けAIエージェント分野における現象級のプロダクトとなっています。そのエコシステムの核となるClawhubはアプリマーケットとして機能し、大量のサードパーティ製Skill機能プラグインを集約しており、エージェントがワンクリックでウェブ検索、コンテンツ作成から、暗号ウォレット操作、オンチェーン操作、システム自動化などの高度な機能を解放できるようにし、エコシステムの規模とユーザー数が爆発的に増加しています。

しかし、このような高権限環境で動作するサードパーティ製Skillに対して、プラットフォームの真のセキュリティ境界は一体どこにあるのでしょうか？

このほど、世界最大のWeb3セキュリティ企業であるCertiKが、Skillセキュリティに関する最新の調査結果を発表しました。報告書では、現在の市場がAIエージェントエコシステムのセキュリティ境界について認識のズレがあると指摘しています：業界では一般的に「Skillスキャン」を核心的なセキュリティ境界と見なしていますが、このメカニズムはハッカー攻撃の前ではほぼ無力です。

OpenClawをスマートデバイスのオペレーティングシステムに例えるなら、Skillはシステムにインストールされる様々なアプリです。一般的なコンシューマー向けアプリとは異なり、OpenClaw内の一部のSkillは高権限環境で動作し、ローカルファイルへの直接アクセス、システムツールの呼び出し、外部サービスへの接続、ホスト環境コマンドの実行、さらにはユーザーの暗号デジタル資産の操作さえ可能であり、一度セキュリティ問題が発生すると、機密情報漏洩、デバイスのリモート乗っ取り、デジタル資産の盗難などの深刻な結果を直接引き起こす可能性があります。

現在、業界全体でサードパーティ製Skillに対する一般的なセキュリティソリューションは、「公開前のスキャン審査」です。OpenClawのClawhubも3層の審査保護システムを構築しています：VirusTotalコードスキャン、静的コード検出エンジン、AI論理一貫性検出を融合し、リスクレベルに応じてユーザーにセキュリティ警告ポップアップを表示し、これによってエコシステムの安全を守ろうと試みています。しかし、CertiKの調査と概念実証攻撃テストは、この検出システムが実際の攻防戦において弱点があり、セキュリティ保護の核心的な役割を担うことができないことを実証しました。

調査ではまず、既存の検出メカニズムの根本的な限界を分析しています：

静的検出ルールは非常に回避されやすい。このエンジンの核心は、コード特徴のマッチングによってリスクを識別することに依存しており、例えば「環境機密情報の読み取り + 外部ネットワークリクエスト」の組み合わせを高危険行為と判定します。しかし、攻撃者はコードにわずかな構文の書き換えを行うだけで、悪意のあるロジックを完全に保持したまま、特徴マッチングを簡単に回避できます。危険な内容に同義の表現を付け替えるだけで、セキュリティチェック装置を完全に無効化するようなものです。

AI審査には先天的な検出の死角が存在する。ClawhubのAI審査の核心的な役割は「論理一貫性検出器」であり、「宣言された機能と実際の動作が一致しない」明らかに悪意のあるコードを摘発することしかできず、正常な業務ロジックに隠された悪用可能な脆弱性に対しては無力です。一見コンプライアンスに準拠している契約書から、条項の奥深くに隠された致命的な罠を見つけ出すのが難しいのと同様です。

さらに致命的なのは、審査プロセスには根本的な設計上の欠陥があることです：VirusTotalのスキャン結果がまだ「処理待ち」の状態であっても、全プロセスの「健康診断」を完了していないSkillが直接公開され、ユーザーは警告なしにインストールを完了することができ、攻撃者に付け入る隙を与えています。

リスクの実際の危険性を検証するために、CertiKの調査チームは完全なテストを実施しました。チームは「test-web-searcher」という名前のSkillを開発し、表面上は完全にコンプライアンスに準拠したウェブ検索ツールであり、コードロジックは通常の開発規範に完全に従っていますが、実際には正常な機能フローの中にリモートコード実行の脆弱性を埋め込んでいました。

このSkillは静的エンジンとAI審査の検出を回避し、VirusTotalスキャンがまだ処理待ち状態の間に、一切のセキュリティ警告なしで正常にインストールされました。最終的にTelegramを通じてリモートで1つのコマンドを送信するだけで、脆弱性がトリガーされ、ホストデバイス上で任意のコマンド実行を実現しました（デモでは直接システムの電卓をポップアップさせました）。

CertiKは調査の中で、これらの問題はOpenClawに特有の製品バグではなく、AIエージェント業界全体に共通する認識の誤りであると明確に指摘しています：業界は一般的に「審査スキャン」を核心的なセキュリティ防衛線と見なしていますが、真のセキュリティの基盤は、実行時の強制隔離と細かい権限管理であることを見落としています。これは、AppleのiOSエコシステムのセキュリティの核心が、App Storeの厳格な審査ではなく、システムが強制するサンドボックスメカニズムと細かい権限管理にあり、各アプリが専用の「隔離キャビン」内でのみ動作し、システム権限を自由に取得できないようにしているのと似ています。一方、OpenClawの既存のサンドボックスメカニズムはオプションであり強制ではなく、ユーザーの手動設定に大きく依存しています。大多数のユーザーはSkillの機能可用性を確保するためにサンドボックスを無効化することを選択し、最終的にエージェントを「丸裸」の状態にしています。脆弱性や悪意のあるコードを含むSkillをインストールすると、直接的に壊滅的な結果を招くことになります。

今回発見された問題に対して、CertiKは以下のセキュリティガイダンスも提供しています：

●    OpenClawなどのAIエージェント開発者にとっては、サンドボックス隔離をサードパーティ製Skillのデフォルトの強制設定とし、Skillの権限管理モデルを細かく制御し、サードパーティ製コードがデフォルトでホストマシンの高権限を継承することを絶対に許可してはなりません。

●    一般ユーザーにとっては、Skillマーケットで「安全」タグが付いているSkillは、単にリスクが検出されなかったことを示すだけで、絶対的な安全を意味するものではありません。公式が基盤となる強力な隔離メカニズムをデフォルト設定とする前に、OpenClawを重要でない未使用のデバイスや仮想マシンにデプロイし、機密ファイル、パスワード認証情報、高価値の暗号資産の近くに絶対に配置しないことをお勧めします。

現在、AIエージェント分野は爆発的前夜にあり、エコシステムの拡大速度がセキュリティ構築の歩みを決して上回ってはなりません。審査スキャンは初歩的な悪意のある攻撃を防ぐことしかできず、高権限エージェントのセキュリティ境界になることは永遠にありません。「完璧な検出を追求する」ことから「リスクの存在をデフォルトとし損害を封じ込める」ことへ、実行時の基盤から強制的に隔離境界を確立することに転換して初めて、AIエージェントのセキュリティの最低ラインを真に確保し、この技術変革を着実に前進させることができるのです。