最近、オープンソースのセルフホスティング型AIインテリジェントエージェントプラットフォーム「OpenClaw」(業界内では通称“小エビ”)は、その柔軟な拡張性と自主的に制御可能な展開特性により急速に普及し、個人向けAIインテリジェントエージェントの分野で現象的な製品となっている。そのエコシステムの中核を担う「Clawhub」はアプリマーケットとして、膨大なサードパーティのSkillプラグインを集積し、インテリジェントエージェントがワンクリックでウェブ検索、コンテンツ制作、暗号通貨ウォレット操作、ブロックチェーン上のインタラクション、システムの自動化などの高度な能力を解放できるようにしている。これにより、エコシステムの規模とユーザー数は爆発的に拡大している。しかし、この種の高権限環境で動作するサードパーティSkillに対して、プラットフォームの真の安全境界はどこにあるのだろうか?最近、世界最大のWeb3セキュリティ企業であるCertiKは、Skillの安全性に関する最新の研究を発表した。記事では、市場におけるAIインテリジェントエージェントのエコシステムの安全境界に関して認識のズレが存在していると指摘している。業界では一般的に「Skillスキャン」が安全の核心境界とみなされているが、この仕組みはハッカーの攻撃面に対してほとんど無力である。OpenClawをスマートデバイスのOSに例えるなら、SkillはそのOSにインストールされた各種アプリケーションに相当する。一般的な消費者向けアプリと異なり、OpenClaw内の一部のSkillは高権限環境で動作し、ローカルファイルへの直接アクセス、システムツールの呼び出し、外部サービスとの接続、ホスト環境のコマンド実行、さらにはユーザーの暗号資産の操作まで行うことができる。安全性に問題が生じた場合、敏感情報の漏洩、デバイスのリモート乗っ取り、資産の盗難など深刻な結果を招く。現状、業界全体でサードパーティSkillの一般的な安全対策として採用されているのは、「公開前のスキャンと審査」である。OpenClawのClawhubも、VirusTotalによるコードスキャン、静的コード解析エンジン、AIのロジック整合性検査を融合した三層の審査防護システムを構築し、リスクレベルに応じて安全ポップアップをユーザーに提示し、エコシステムの安全を守ろうとしている。しかし、CertiKの研究と概念実証攻撃テストは、この検査システムが実際の攻防戦において脆弱性を抱えており、安全防護の核心的役割を果たせていないことを証明している。まず、既存の検査メカニズムの根本的な制約を解明した。静的検査ルールは回避されやすい。このエンジンはコードの特徴をマッチさせてリスクを識別する仕組みであり、例えば「環境の敏感情報を読み取り外部に送信する」行為を高リスクと判定する。しかし、攻撃者はコードの文法をわずかに書き換えるだけで、悪意のあるロジックを完全に保持したまま、特徴マッチングを容易に回避できる。まるで危険な内容を同義語に置き換えるようにして、安全検査を無効化してしまう。AIによる審査には先天的な盲点がある。ClawhubのAI審査の核は「ロジックの整合性検査」であり、「機能の宣言と実際の動作が一致しない」明らかな悪意のあるコードだけを検出できる。だが、正常なビジネスロジックに潜む脆弱性や隠された悪意には無力であり、まるで一見合法的な契約書の中に潜む致命的な落とし穴を見つけるのが難しいのと同じだ。さらに致命的なのは、審査のフローに根本的な設計欠陥があることだ。VirusTotalのスキャン結果が「保留中」の状態でも、全体の「健康診断」を完了していないSkillは直接公開され、ユーザーは警告なしにインストールできてしまう。これにより、攻撃者にとっての踏み台となる危険性が生じている。リスクの実態と危険性を検証するため、CertiKの研究チームは完全なテストを実施した。チームは「test-web-searcher」という名前のSkillを開発した。これは一見すると完全に合法的なウェブ検索ツールで、コードも一般的な開発規範に従っているが、実は正常な機能の流れの中にリモートコード実行の脆弱性を仕込んでいた。このSkillは静的エンジンとAI審査の検出を回避し、VirusTotalのスキャンが「保留中」の状態のまま、何の安全警告も出さずに正常にインストールされた。最終的にTelegramを通じてリモートコマンドを送信し、脆弱性を発動させ、ホストデバイス上で任意のコマンドを実行させることに成功した(デモではシステムの計算機が直接起動した)。CertiKは研究の中で明確に指摘している。これらの問題はOpenClaw固有の製品バグではなく、AIインテリジェントエージェント業界全体に共通する認識の誤りである。業界は「審査とスキャン」を安全の核心とみなすが、実際に重要なのは「実行時の強制的な隔離と細粒度の権限管理」である。これはまさにAppleのiOSエコシステムの安全の核心であり、決してApp Storeの厳格な審査だけではなく、システムの強制的なサンドボックスと詳細な権限管理によって、各アプリは専用の「隔離コンテナ」内でしか動作できず、システム権限を無断で取得できない仕組みだ。ところが、OpenClawの現行のサンドボックスは任意選択であり、ユーザーの手動設定に大きく依存している。多くのユーザーはSkillの機能性を確保するためにサンドボックスを無効にしており、その結果、インストールされたSkillに脆弱性や悪意のあるコードが含まれていると、取り返しのつかない事態を招く。これらの問題に対し、CertiKは以下の安全指針を提示している。● OpenClawなどのAIインテリジェントエージェントの開発者は、サンドボックスによる隔離をサードパーティSkillのデフォルトの強制設定とし、権限管理モデルを細かく設計し、サードパーティコードがホストの高権限をデフォルトで継承しないようにすべきである。● 一般ユーザーに対しては、「安全」タグのついたSkillはリスクが検出されていないだけであり、絶対的に安全であることを意味しない。公式が底層の強制隔離メカニズムをデフォルト設定にするまでは、OpenClawを重要でない未使用のデバイスや仮想マシンに展開し、敏感なファイルやパスワード、価値の高い暗号資産に近づけないことを強く推奨する。現在、AIインテリジェントエージェントの分野は爆発の直前にあり、エコシステムの拡大速度は安全構築の歩みを超えてはならない。審査とスキャンは初歩的な悪意の攻撃を防ぐことはできても、高権限のインテリジェントエージェントの安全境界には決してなり得ない。真の安全を確保するには、「完璧な検出」から「リスクの存在を前提とした損害の抑制」へと移行し、実行時に底層から隔離境界を強制的に確立することが必要だ。これにより、AIインテリジェントエージェントの安全ラインを確保し、この技術革新を着実に進めていくことができる。
CertiK実測:脆弱性を持つOpenClaw Skillが審査をすり抜け、無許可でコンピュータを乗っ取る方法
最近、オープンソースのセルフホスティング型AIインテリジェントエージェントプラットフォーム「OpenClaw」(業界内では通称“小エビ”)は、その柔軟な拡張性と自主的に制御可能な展開特性により急速に普及し、個人向けAIインテリジェントエージェントの分野で現象的な製品となっている。そのエコシステムの中核を担う「Clawhub」はアプリマーケットとして、膨大なサードパーティのSkillプラグインを集積し、インテリジェントエージェントがワンクリックでウェブ検索、コンテンツ制作、暗号通貨ウォレット操作、ブロックチェーン上のインタラクション、システムの自動化などの高度な能力を解放できるようにしている。これにより、エコシステムの規模とユーザー数は爆発的に拡大している。
しかし、この種の高権限環境で動作するサードパーティSkillに対して、プラットフォームの真の安全境界はどこにあるのだろうか?
最近、世界最大のWeb3セキュリティ企業であるCertiKは、Skillの安全性に関する最新の研究を発表した。記事では、市場におけるAIインテリジェントエージェントのエコシステムの安全境界に関して認識のズレが存在していると指摘している。業界では一般的に「Skillスキャン」が安全の核心境界とみなされているが、この仕組みはハッカーの攻撃面に対してほとんど無力である。
OpenClawをスマートデバイスのOSに例えるなら、SkillはそのOSにインストールされた各種アプリケーションに相当する。一般的な消費者向けアプリと異なり、OpenClaw内の一部のSkillは高権限環境で動作し、ローカルファイルへの直接アクセス、システムツールの呼び出し、外部サービスとの接続、ホスト環境のコマンド実行、さらにはユーザーの暗号資産の操作まで行うことができる。安全性に問題が生じた場合、敏感情報の漏洩、デバイスのリモート乗っ取り、資産の盗難など深刻な結果を招く。
現状、業界全体でサードパーティSkillの一般的な安全対策として採用されているのは、「公開前のスキャンと審査」である。OpenClawのClawhubも、VirusTotalによるコードスキャン、静的コード解析エンジン、AIのロジック整合性検査を融合した三層の審査防護システムを構築し、リスクレベルに応じて安全ポップアップをユーザーに提示し、エコシステムの安全を守ろうとしている。しかし、CertiKの研究と概念実証攻撃テストは、この検査システムが実際の攻防戦において脆弱性を抱えており、安全防護の核心的役割を果たせていないことを証明している。
まず、既存の検査メカニズムの根本的な制約を解明した。
静的検査ルールは回避されやすい。このエンジンはコードの特徴をマッチさせてリスクを識別する仕組みであり、例えば「環境の敏感情報を読み取り外部に送信する」行為を高リスクと判定する。しかし、攻撃者はコードの文法をわずかに書き換えるだけで、悪意のあるロジックを完全に保持したまま、特徴マッチングを容易に回避できる。まるで危険な内容を同義語に置き換えるようにして、安全検査を無効化してしまう。
AIによる審査には先天的な盲点がある。ClawhubのAI審査の核は「ロジックの整合性検査」であり、「機能の宣言と実際の動作が一致しない」明らかな悪意のあるコードだけを検出できる。だが、正常なビジネスロジックに潜む脆弱性や隠された悪意には無力であり、まるで一見合法的な契約書の中に潜む致命的な落とし穴を見つけるのが難しいのと同じだ。
さらに致命的なのは、審査のフローに根本的な設計欠陥があることだ。VirusTotalのスキャン結果が「保留中」の状態でも、全体の「健康診断」を完了していないSkillは直接公開され、ユーザーは警告なしにインストールできてしまう。これにより、攻撃者にとっての踏み台となる危険性が生じている。
リスクの実態と危険性を検証するため、CertiKの研究チームは完全なテストを実施した。チームは「test-web-searcher」という名前のSkillを開発した。これは一見すると完全に合法的なウェブ検索ツールで、コードも一般的な開発規範に従っているが、実は正常な機能の流れの中にリモートコード実行の脆弱性を仕込んでいた。
このSkillは静的エンジンとAI審査の検出を回避し、VirusTotalのスキャンが「保留中」の状態のまま、何の安全警告も出さずに正常にインストールされた。最終的にTelegramを通じてリモートコマンドを送信し、脆弱性を発動させ、ホストデバイス上で任意のコマンドを実行させることに成功した(デモではシステムの計算機が直接起動した)。
CertiKは研究の中で明確に指摘している。これらの問題はOpenClaw固有の製品バグではなく、AIインテリジェントエージェント業界全体に共通する認識の誤りである。業界は「審査とスキャン」を安全の核心とみなすが、実際に重要なのは「実行時の強制的な隔離と細粒度の権限管理」である。これはまさにAppleのiOSエコシステムの安全の核心であり、決してApp Storeの厳格な審査だけではなく、システムの強制的なサンドボックスと詳細な権限管理によって、各アプリは専用の「隔離コンテナ」内でしか動作できず、システム権限を無断で取得できない仕組みだ。ところが、OpenClawの現行のサンドボックスは任意選択であり、ユーザーの手動設定に大きく依存している。多くのユーザーはSkillの機能性を確保するためにサンドボックスを無効にしており、その結果、インストールされたSkillに脆弱性や悪意のあるコードが含まれていると、取り返しのつかない事態を招く。
これらの問題に対し、CertiKは以下の安全指針を提示している。
● OpenClawなどのAIインテリジェントエージェントの開発者は、サンドボックスによる隔離をサードパーティSkillのデフォルトの強制設定とし、権限管理モデルを細かく設計し、サードパーティコードがホストの高権限をデフォルトで継承しないようにすべきである。
● 一般ユーザーに対しては、「安全」タグのついたSkillはリスクが検出されていないだけであり、絶対的に安全であることを意味しない。公式が底層の強制隔離メカニズムをデフォルト設定にするまでは、OpenClawを重要でない未使用のデバイスや仮想マシンに展開し、敏感なファイルやパスワード、価値の高い暗号資産に近づけないことを強く推奨する。
現在、AIインテリジェントエージェントの分野は爆発の直前にあり、エコシステムの拡大速度は安全構築の歩みを超えてはならない。審査とスキャンは初歩的な悪意の攻撃を防ぐことはできても、高権限のインテリジェントエージェントの安全境界には決してなり得ない。真の安全を確保するには、「完璧な検出」から「リスクの存在を前提とした損害の抑制」へと移行し、実行時に底層から隔離境界を強制的に確立することが必要だ。これにより、AIインテリジェントエージェントの安全ラインを確保し、この技術革新を着実に進めていくことができる。