記事2026年2月17日 00:00検証済み#Security#Malware#Supply Chain Attack#Crypto

【緊急】AIエージェント「OpenClaw」で大規模サプライチェーン攻撃：341個の悪意あるスキルが判明

人気のパーソナルAIエージェント「OpenClaw」の公式スキルマーケットプレイス「ClawHub」において、登録スキルの約12%（341個）が悪意あるマルウェアを含んでいたことが発覚しました。「ClawHavoc」と呼ばれるこの攻撃キャンペーンは、便利なスキルを装ってユーザーにインストールさせ、暗号資産の秘密鍵やSSH認証情報を盗み出します。さらに、PCを乗っ取られる致命的な脆弱性（CVE-2026-25253）も報告されています。

要点まとめ

📌 この記事のポイント

1全スキルの12%（341個）がマルウェア、335個は同一犯による組織的犯行
2インストールすると暗号資産ウォレット、APIキー、SSH鍵などが盗まれる
3Web閲覧だけでPCが乗っ取られる脆弱性（CVE-2026-25253）も存在、2万台以上が危険な状態

【緊急】AIエージェント「OpenClaw」で大規模サプライチェーン攻撃：341個の悪意あるスキルが判明のサムネイル

https://qiita.com/emi_ndk/items/bf3b5f0f3eef99a4d124

1. これは何の話？

2026年2月、AIエージェント業界を揺るがす大規模なセキュリティインシデントが発生しました。人気のオープンソースAIエージェント**「OpenClaw」**のスキル（拡張機能）を配布するマーケットプレイス「ClawHub」に、大量のマルウェアが混入していたというニュースです。発見された悪意あるスキルは341個に及び、これは全登録数の約12%に達します。つまり、ユーザーが何も考えずにスキルを8個入れたら、確率的に1個はマルウェアであるという極めて危険な状態が続いていました。

2. 何がわかったか

セキュリティ企業Koi SecurityおよびCiscoの調査により、以下の衝撃的な事実が明らかになりました。

ClawHavoc作戦: 341個のうち335個は同一のC&Cサーバー（司令塔サーバー）に接続しており、組織的な犯行でした。「Solanaウォレットトラッカー」や「YouTube便利ツール」など、ユーザーが欲しがる機能を装っていました。
攻撃の手口: スキルをインストールすると「前提条件（Prerequisites）」として外部ファイルのダウンロードを促され、指示に従うと情報窃取マルウェア（AMOS Stealer）が感染します。
盗まれる情報: 暗号資産ウォレットの秘密鍵、取引所のAPIキー、SSH認証情報、ブラウザの保存パスワードなど、金銭に直結するデータが根こそぎ抜かれます。
致命的脆弱性 (CVE-2026-25253): これとは別に、悪意あるWebページを開くだけでOpenClaw経由でPCを乗っ取られる脆弱性も見つかっており、RCE（リモートコード実行）が可能な状態でした。

3. 他とどう違うのか

従来の「怪しいソフトをダウンロードしない」という対策が通用しにくい点が特徴です。今回は**「公式マーケットプレイス」**にマルウェアが大量に陳列されていたため、ユーザーは「公式にあるものだから安全だろう」と信じてインストールしてしまいました。これはnpmやPyPIで発生する「サプライチェーン攻撃」のAIエージェント版であり、エージェントエコシステムの未熟さを露呈させる事件です。また、AIエージェントは「PCの操作権限（シェル実行やファイル操作）」を最初から持っているため、一度侵入を許すと被害が甚大になります。

4. なぜこれが重要か

これは**「AIエージェントセキュリティ元年」**を告げる事件です。 Palo Alto Networksは「2026年はAIエージェントが最大の攻撃ベクトルになる」と予測していましたが、それが現実となりました。私たちは「AIにPCの操作権限を与える」ことの重さを再認識する必要があります。「何でもできる」エージェントは、裏を返せば「何でも盗める」スパイになり得るのです。特に、暗号資産を扱うユーザーや開発者は、AIエージェントの導入に際して最大限の警戒が必要です。

5. 未来の展開・戦略性

この事件を受けて、AIエージェント業界ではセキュリティ基準の厳格化が急速に進むでしょう。 AppleのApp Storeのように、スキルの公開前に人間による厳格な審査（Human Review）が入るようになるか、あるいはサンドボックス技術の強化（コンテナ化）が標準となるはずです。 OpenClaw自体も、財団化（別ニュース参照）と合わせてガバナンス体制を刷新し、信頼回復に努めることになります。

6. どう考え、どう動くか

OpenClawユーザーは、今すぐ以下の対策を実行してください。

具体的な指針（最大3項）：

スキルの一斉点検: コマンド openclaw skills list でインストール済みスキルを確認し、少しでも不審なものや不要なものは即座に削除する。
Skill Scannerの実行: Ciscoが公開したチェックツール（詳細は公式情報を参照）を導入し、手元のスキルの安全性をスキャンする。
クレデンシャルの変更: 万が一の感染を考慮し、PC内で扱っていたAPIキー、SSH鍵、取引所のパスワード、ウォレットのシードフレーズを全て変更・再発行する。

次の一歩
- 今日やること：自分のOpenClawインスタンスがインターネット（0.0.0.0）に公開されていないか確認し、localhostのみに制限する。
- 今週やること：重要な資産（メインのウォレットや本番環境の認証情報）を扱うPCからは、AIエージェントをアンインストールするか、完全な隔離環境（VM等）に移行する。

7. 限界と未確定

対策ツールも万能ではありません。

検知漏れ: Skill Scannerは既知のパターンを検知しますが、未知の手法（難読化されたコードなど）は見逃す可能性があります。
残留マルウェア: スキルを削除しても、すでにインストールされてしまったバックドアやマルウェア本体（AMOS Stealer）は消えない場合があります。不安な場合はOSのクリーンインストールが必要です。
責任の所在: OSSであるため、損害が発生しても誰も補償してくれません。自己責任の原則が重くのしかかります。

8. 用語ミニ解説

サプライチェーン攻撃 ソフトウェアの開発・配布過程（サプライチェーン）に侵入し、正規のアップデートやプラグインにマルウェアを仕込む攻撃手法。ユーザーが正規ルートだと信じているため防ぐのが難しいです。

C&Cサーバー（Command & Control Server） 乗っ取ったPC（ボット）に対して指令を出したり、盗んだデータを受け取ったりするための攻撃者のサーバー。

9. 出典と日付

Qiita @emi_ndk（公開日：2026-02-17）：https://qiita.com/emi_ndk/items/bf3b5f0f3eef99a4d124

関連メモで深掘り

テーマやツールが近い投稿をピックアップしました。

OpenClaw の最近の動き

同じツールに紐づいた投稿から厳選しました。

2月28日4分

OpenClawのACP（Agent Client Protocol）、スレッドバインド型の永続エージェントセッションを実現

OpenClawのACPがAgent Client Protocolに基づき、Discordのチャットスレッド（現行の組み込み対応チャネル）にエージェントセッションをバインドし永続化する。Codex・Claude Codeなど複数のエージェントを同一インターフェースから起動可能。

#OpenClaw#AIエージェント

2月28日4分

SwitchBot AIハブがOpenClawに対応、スマートホームの単体エージェント実行環境として機能

SwitchBot AIハブがAIエージェントOpenClawの単体実行環境に対応。LINEやDiscordなどチャットアプリからスマートホームを自然言語で制御でき、VLMによる映像理解で先回り自動化も実現する。

#スマートホーム#AIエージェント

2月18日4分

OSS版Devin「OpenClaw」の衝撃とリスク：作者のOpenAI入りで何が変わるか

自律型AIエージェント「OpenClaw」が急速に注目を集めています。個人のPCを「HEARTBEAT」機能で常時自律操作する野心的なOSSですが、開発者steipete氏のOpenAI入社に伴い財団へ移管されました。強力な機能の裏にあるセキュリティリスクと今後の展望を解説します。

#Open Source#AI Agent

2月17日3分

「OpenClawで700万ドル稼いだ」という記事は嘘か詐欺である：Jacob Posel氏による警鐘

Jacob Posel氏はX Article機能を使い、「OpenClawを使ってPolymarketで7日間に700万ドル稼いだ方法」という記事を公開しました。しかしその中身は、「そんな話を書いてる奴は全員嘘つきか、その機会はもう消滅している」というたった一文の警告であり、過熱するエージェントブームへの強烈な風刺となっています。

#OpenClaw#Hype

似ているタグの投稿

タグの重なりが多い投稿をおすすめしています。

公式

Anthropic3月6日6分

Anthropicが米国「戦争省」のサプライチェーンリスク指定に反発——軍事利用の境界とAI企業の法的対立

Anthropicは、米・戦争省から「サプライチェーンリスク」の指定を受けたことに対し、法的根拠がないとして法廷で争う姿勢を表明しました。

#AI#Anthropic

2月15日4分

OpenClaw創業者Steinberger氏がOpenAIへ移籍：オープンソースボット「OpenClaw」は財団化し継続へ

爆発的な人気を博しているオープンソースのAIエージェント「OpenClaw」の創業者Peter Steinberger氏が、OpenAIに参加することが発表されました。OpenClaw自体は新たに設立される財団の管理下でオープンソースプロジェクトとして存続し、OpenAIも支援を継続します。Steinberger氏はOpenAIで次世代のパーソナルエージェント開発を主導します。

#Open Source#AI Agent

2月1日4分

低計算量AIモデルの脅威：5,000以上のモデル分析で判明したリスク

低リソースで稼働するAIモデルが高度な悪意あるキャンペーンに使用可能な脅威を示す研究で、AIガバナンスの課題を指摘しています。

#AI Safety#Security

2月1日4分

OpenClaw、Clawdbot向けのセキュアなホステッドプラットフォームを発表

OpenClawが人気AIアシスタント「Clawdbot」向けのセキュアホストプラットフォームを立ち上げ、オープンソースAIコミュニティ向けに提供を開始しました。

#Open Source#Security

Journey

キーワードで深掘り

キーワードをクリックして関連記事を探索しましょう

Timeline

次に読む

OpenClaw のタイムラインの流れで前後の記事を辿れます。

→

「OpenClawで700万ドル稼いだ」という記事は嘘か詐欺である：Jacob Posel氏による警鐘

2月17日

←

OpenClaw創業者Steinberger氏がOpenAIへ移籍：オープンソースボット「OpenClaw」は財団化し継続へ

2月15日

著者Yuji Sakuta

公開日2026年2月17日

検証日2026年3月14日

元の投稿を開く

📌 この記事のポイント

1全スキルの12%（341個）がマルウェア、335個は同一犯による組織的犯行

2インストールすると暗号資産ウォレット、APIキー、SSH鍵などが盗まれる

3Web閲覧だけでPCが乗っ取られる脆弱性（CVE-2026-25253）も存在、2万台以上が危険な状態

1. これは何の話？

2. 何がわかったか

セキュリティ企業Koi SecurityおよびCiscoの調査により、以下の衝撃的な事実が明らかになりました。

ClawHavoc作戦: 341個のうち335個は同一のC&Cサーバー（司令塔サーバー）に接続しており、組織的な犯行でした。「Solanaウォレットトラッカー」や「YouTube便利ツール」など、ユーザーが欲しがる機能を装っていました。
攻撃の手口: スキルをインストールすると「前提条件（Prerequisites）」として外部ファイルのダウンロードを促され、指示に従うと情報窃取マルウェア（AMOS Stealer）が感染します。
盗まれる情報: 暗号資産ウォレットの秘密鍵、取引所のAPIキー、SSH認証情報、ブラウザの保存パスワードなど、金銭に直結するデータが根こそぎ抜かれます。
致命的脆弱性 (CVE-2026-25253): これとは別に、悪意あるWebページを開くだけでOpenClaw経由でPCを乗っ取られる脆弱性も見つかっており、RCE（リモートコード実行）が可能な状態でした。

3. 他とどう違うのか

4. なぜこれが重要か

5. 未来の展開・戦略性

6. どう考え、どう動くか

OpenClawユーザーは、今すぐ以下の対策を実行してください。

具体的な指針（最大3項）：

スキルの一斉点検: コマンド openclaw skills list でインストール済みスキルを確認し、少しでも不審なものや不要なものは即座に削除する。
Skill Scannerの実行: Ciscoが公開したチェックツール（詳細は公式情報を参照）を導入し、手元のスキルの安全性をスキャンする。
クレデンシャルの変更: 万が一の感染を考慮し、PC内で扱っていたAPIキー、SSH鍵、取引所のパスワード、ウォレットのシードフレーズを全て変更・再発行する。

次の一歩
- 今日やること：自分のOpenClawインスタンスがインターネット（0.0.0.0）に公開されていないか確認し、localhostのみに制限する。
- 今週やること：重要な資産（メインのウォレットや本番環境の認証情報）を扱うPCからは、AIエージェントをアンインストールするか、完全な隔離環境（VM等）に移行する。

7. 限界と未確定

対策ツールも万能ではありません。

検知漏れ: Skill Scannerは既知のパターンを検知しますが、未知の手法（難読化されたコードなど）は見逃す可能性があります。
残留マルウェア: スキルを削除しても、すでにインストールされてしまったバックドアやマルウェア本体（AMOS Stealer）は消えない場合があります。不安な場合はOSのクリーンインストールが必要です。
責任の所在: OSSであるため、損害が発生しても誰も補償してくれません。自己責任の原則が重くのしかかります。

8. 用語ミニ解説

C&Cサーバー（Command & Control Server） 乗っ取ったPC（ボット）に対して指令を出したり、盗んだデータを受け取ったりするための攻撃者のサーバー。

9. 出典と日付

Qiita @emi_ndk（公開日：2026-02-17）：https://qiita.com/emi_ndk/items/bf3b5f0f3eef99a4d124

【緊急】AIエージェント「OpenClaw」で大規模サプライチェーン攻撃：341個の悪意あるスキルが判明

📌 この記事のポイント

1. これは何の話？

2. 何がわかったか

3. 他とどう違うのか

4. なぜこれが重要か

5. 未来の展開・戦略性

6. どう考え、どう動くか

7. 限界と未確定

8. 用語ミニ解説

9. 出典と日付

関連ツール

関連メモで深掘り

キーワードで深掘り

次に読む

【緊急】AIエージェント「OpenClaw」で大規模サプライチェーン攻撃：341個の悪意あるスキルが判明

📌 この記事のポイント

1. これは何の話？

2. 何がわかったか

3. 他とどう違うのか

4. なぜこれが重要か

5. 未来の展開・戦略性

6. どう考え、どう動くか

7. 限界と未確定

8. 用語ミニ解説

9. 出典と日付

関連ツール

関連メモで深掘り

キーワードで深掘り

次に読む