著者: Certik
近年、オープンソースで自己ホスト型のAIエージェントプラットフォームであるOpenClaw(業界では「Little Lobster」として広く知られている)は、その柔軟な拡張性と自己制御可能なデプロイメント特性により急速に人気を集め、パーソナルAIエージェント分野で驚異的な製品となっています。そのコアエコシステムであるClawhubは、アプリケーションマーケットプレイスとして機能し、Web検索やコンテンツ作成から暗号化ウォレット操作、オンチェーンインタラクション、システム自動化まで、エージェントがワンクリックで高度な機能を利用できる膨大な数のサードパーティ製スキルプラグインを集約しています。これにより、エコシステムの規模とユーザーベースは爆発的に拡大しています。
しかし、高権限環境で実行されるこれらのサードパーティ製スキルに関して、プラットフォームの真のセキュリティ境界は一体どこにあるのでしょうか?
最近、世界最大のWeb3セキュリティ企業であるCertiKが、スキルセキュリティに関する最新の研究を発表しました。この記事では、AIエージェントエコシステムのセキュリティ境界に関して市場に誤解があることを指摘しています。業界では一般的に「スキルスキャン」を主要なセキュリティ境界として扱っていますが、このメカニズムはハッカー攻撃に対してほとんど役に立たないとしています。
OpenClawをスマートデバイスのオペレーティングシステムに例えるなら、スキルはそのシステムにインストールされている様々なアプリに相当します。一般的なコンシューマー向けアプリとは異なり、OpenClawの一部のスキルは高い権限環境で動作するため、ローカルファイルへの直接アクセス、システムツールの呼び出し、外部サービスへの接続、ホスト環境でのコマンド実行、さらにはユーザーの暗号化されたデジタル資産の操作まで可能です。セキュリティ上の問題が発生すると、機密情報の漏洩、デバイスのリモート乗っ取り、デジタル資産の盗難など、深刻な事態に直結する可能性があります。
現在、サードパーティスキルの業界標準セキュリティソリューションは「事前登録スキャンとレビュー」です。OpenClawのClawhubも、VirusTotalコードスキャン、静的コード解析エンジン、AIロジック一貫性検出を統合し、リスクレベルに基づいてユーザーにセキュリティポップアップを表示することで、エコシステムのセキュリティ保護を試みる3層のレビューおよび保護システムを構築しています。しかし、CertiKの研究と概念実証攻撃テストにより、この検出システムは実際の攻撃と防御のシナリオにおいて欠点があり、セキュリティ保護の中核的な責任を担うことができないことが確認されています。
本研究はまず、既存の検出メカニズムに内在する限界を明らかにする。
静的検出ルールは容易に回避できます。このエンジンの核となる部分は、コードの特徴を照合してリスクを特定することに基づいています。例えば、「機密性の高い環境情報の読み取り+ネットワークリクエストの送信」という組み合わせを高リスクな動作として識別するかもしれません。しかし、攻撃者はコードにわずかな構文変更を加えるだけで、悪意のあるロジックを維持したまま特徴照合を容易に回避できます。これは、危険なコンテンツに別の同義語を与えるようなもので、セキュリティスキャナーを完全に無効にしてしまいます。
AI監査には本質的に盲点がある。ClawhubのAI監査は「論理一貫性検出器」として位置づけられているが、これは「実際の動作と一致しない関数を宣言している」明らかな悪意のあるコードしか特定できず、通常のビジネスロジックに潜む悪用可能な脆弱性には対応できない。これは、一見準拠しているように見える契約書の条項の奥深くに隠された致命的な罠を見つけようとするようなものだ。
さらに致命的なことに、審査プロセスには根本的な設計上の欠陥がある。VirusTotalのスキャン結果が「保留中」の状態であっても、完全な「チェックアップ」プロセスを完了していないSkillは直接アップロードされて公開されてしまうため、ユーザーは警告なしにインストールできてしまい、攻撃者に攻撃の機会を与えてしまう。
リスクの真の深刻度を検証するため、CertiKの研究チームは徹底的なテストを実施しました。チームは「test-web-searcher」というスキルを開発しました。これは、標準的な開発手法に準拠したコードロジックを備えた、一見すると完全に準拠したWeb検索ツールのように見えます。しかし実際には、通常の機能フローの中にリモートコード実行の脆弱性が組み込まれています。
このスキルは静的エンジンの検出やAIによるレビューを回避するため、VirusTotalスキャンが保留中でもセキュリティ警告なしに正常にインストールできます。最後に、Telegram経由でリモートからコマンドが送信され、脆弱性が正常にトリガーされ、ホストデバイス上で任意のコマンド実行が可能になりました(デモでは、電卓が直接ポップアップ表示されるように制御されました)。
CertiKの調査では、これらの問題はOpenClaw固有の製品バグではなく、AIエージェント業界全体に共通する誤解であると明確に指摘しています。業界は一般的に「承認スキャン」を主要なセキュリティ対策とみなしていますが、セキュリティの真の基盤である実行時の強制的な隔離と詳細な権限制御を軽視しています。これは、AppleのiOSエコシステムの中核的なセキュリティに似ています。iOSのセキュリティは、App Storeの厳格な承認プロセスではなく、システムの強制的なサンドボックスメカニズムと詳細な権限制御によって、各アプリが専用の「隔離チャンバー」内でのみ実行でき、システム権限を任意に取得できないようにしています。しかし、OpenClawの既存のサンドボックスメカニズムは必須ではなくオプションであり、ユーザーによる手動設定に大きく依存しています。ほとんどのユーザーは、スキルの機能を確保するためにサンドボックスを無効にすることを選択し、結果としてエージェントは「むき出し」の状態になります。脆弱性や悪意のあるコードを含むスキルがインストールされると、直接的に壊滅的な結果につながります。
発見された問題に対応するため、CertiKはセキュリティガイドラインも提供しています。
- OpenClawなどのAIエージェント開発者にとって、サンドボックス分離はサードパーティ製スキルのデフォルトの必須設定として設定する必要があり、スキルの権限制御モデルを洗練させる必要がある。サードパーティ製コードがデフォルトでホストマシンの高い権限を継承することは決して許されてはならない。
- 一般ユーザーにとって、スキルマーケットプレイスで「安全」と表示されているスキルは、単に危険と検出されていないことを意味するだけであり、絶対的に安全であることを意味するものではありません。公式の強力な隔離メカニズムがデフォルト設定になるまでは、OpenClawは重要度の低いアイドル状態のデバイスや仮想マシンにデプロイし、機密ファイル、パスワード認証情報、または価値の高い暗号化された資産の近くには絶対に配置しないことをお勧めします。
AIエージェント開発競争は現在、爆発的な成長の瀬戸際にありますが、エコシステムの拡大ペースはセキュリティ開発のペースを上回ってはなりません。レビューやスキャンは基本的な悪意のある攻撃を防ぐことはできますが、高権限エージェントのセキュリティ境界を構築することは決してできません。「完璧な検出を追求する」ことから「既存のリスクをデフォルトとして利用することで被害を軽減する」ことへと転換し、実行時レベルで強制的に隔離境界を確立することによってのみ、AIエージェントのセキュリティの底辺を真に保護し、この技術革命の着実かつ長期的な進歩を確保することができるのです。
