AIエージェントツール「OpenClaw」において、深刻なセキュリティ侵害が相次いで発覚している。Ciscoの研究者らは、ユーザーのコンピュータにスリーパーエージェントが仕込まれ、数日から数ヶ月後に特定のコードワードで起動する事例を確認した。さらに悪質なケースでは、これらのボットが安全なDockerコンテナから脱出し、ユーザーの実システムに侵入する手法も報告されている。150万件以上のAPIキーが流出し、ClawHub上の人気スキルにマルウェアが混入していたことも判明した。セキュリティの脅威は、AIエージェントがテキストを意味的に理解することで生じるプロンプトインジェクション攻撃によるものである。Ciscoはオープンソースのスキルスキャナーをリリースし、対策を講じているが、利用者は全APIキーのローテーション、チャットログの精査、スキルの自作など、慎重な運用が求められる状況となっている。
OpenClawの深刻なセキュリティ侵害が発覚
OpenClaw、Claudebot、Moldbotなど、どんな名前で呼ばれていようと、もしこれらを使ったことがあるなら、あるいは何らかの形で関わったことがあるなら、このビデオを聞いておいた方がいいでしょう。かなり深刻なセキュリティ侵害が複数発生しているんです。
Ciscoの研究者たちが発見したのは、OpenClawを使っているユーザーのコンピュータにスリーパーエージェントがインストールされている事例です。これらは何日も、何週間も、あるいは何ヶ月も起動しないまま潜伏していて、ある特定の秘密のコードワードが発せられるまで待機しているんです。
つまり、OpenClawを使っていても今のところ何も悪いことが起きていないからといって安心はできません。それはスリーパーエージェントが攻撃のタイミングを待っているだけかもしれないのです。
そしてそれだけでも十分ひどい話なんですが、さらに悪いことに、これらの悪意のある攻撃者がボットに教えている事例もあります。何を教えているかというと、安全なDockerコンテナ、つまり安全な環境のようなものから実際に脱出して、ユーザーの実際のシステムに自分自身をインストールする方法です。それに加えて、150万件のAPIキーが流出しています。
そしてClawHub上のトップスキルの一部は、どうやらマルウェアに感染していたか、現在も感染しているようです。つまり、あなたの小さなAIエージェントをAIエージェント学校に送って新しいスキルを学ばせると、基本的にスリーパーエージェントとして帰ってきて、あなたが眠っている間に家中のドアの鍵を開けて、他の悪者たちを招き入れるようなものなんです。
ええ、ということで、最後までお付き合いください。
ClawHub上位スキルにマルウェア混入
さて、実際に起こってしまいました。ClawHub上でダウンロード数トップのスキルにマルウェアが見つかったんです。
Clawbot、OpenClaw、Moldbotは、全て基本的に同じものです。ClawHubはこれらのエージェントが使用するスキルを保管するオンラインコミュニティで、GitHubのようなものです。多くのスキルを保存できる場所なんです。
そしてClawdbot、Moldbot、OpenClawは、お互いの名前を変えただけのバージョンです。ですから、私はこのエコシステム全体をOpenClawと呼ぶことにします。それがエージェントであり、それに付随する全てのものです。
OpenClawが登場して以来、多くの人々がこれについて語ってきた大きな問題は、基本的に二つのグループに分かれています。一つは「素晴らしい」と言うグループで、もう一つは「ひどい、セキュリティの悪夢だ」と言うグループです。
現実はその両方なんです。これがこれほど効果的である理由の一つは、多くのセーフティ機能がオフになっているからです。膨大な機能があり、あらゆることができる能力があり、そしてガードレールやセキュリティの多くがオフになっているか、本当に弱められているんです。
ですから、これらのことが手と手を取り合っているというか、爪と爪を取り合っていると理解することが重要なんです。能力を上げれば上げるほど、それを使うことがどれだけ危険になるかも上がっていくんです。
ClawHub上では、これらのAIエージェントが使えるスキルが大量にありました。例えば、あるAIエージェントがTwitterやYouTubeなどを使うスキルを開発して、毎日のニュースをポッドキャストに変換する、といったことができるわけです。
悪意のあるTwitterスキルの仕組み
当時、ダウンロード数が多かったスキルの一つがTwitterスキルでした。一見すると普通に見えました。意図された使用方法、使い方、ボットが実行する指示などが記載されていました。
これを投稿してくれたDaniel Lleerに感謝します。彼がこれを最初に発見した人物だと思います。OpenClawで次々と出てきた他の多くのセキュリティ問題も彼が見つけたものです。
しかし、そのスキルを見ても、おそらくあなたはそれを見て何も問題を見つけられず、自分の小さなエージェントにそのスキルを習得させて使い始めるよう指示するでしょう。
そしてこれらのスキルは、基本的に何かをする方法の詳細なステップバイステップの指示です。レシピのようなもので、AIエージェントがそれに従うことを意図しています。
何かを繰り返し行う場合、毎回エージェントにそのやり方を考えさせたくはないですよね。繰り返し行うことなら、コンピュータ上のskill.mdファイルにスキルを持っておきたいわけです。
私の場合、iOSとLinuxで実行していて、Ubuntuで実行しているので、skill.mdです。現在稼働しているWindowsバージョンにも独自のバージョンがあると思います。おそらく.txtファイルだと思います。
そしてスキルの概要は、AIエージェントに必要な前提条件をインストールするよう指示していました。通常、これはかなり一般的なことです。実行するために必要なツールやライブラリをダウンロードしてインストールする必要があるかもしれませんし、何かを可能にするAPIコマンドが必要かもしれません。
ここまでのところ、私個人としては、他人のスキルは使っていません。自分のエージェントに独自のものを開発させてきました。このビデオの最後の方で、その方法について少し話しますし、将来的にはもう少し深く掘り下げたチュートリアルもスケジュールしています。
しかしポイントは、スキルファイル内のその小さなコマンドが、エージェントに前提条件をインストールするよう指示していたということです。そしてそのリンクは、エージェントにコマンドを実行させるように設計されたステージングページに誘導していました。そのコマンドは難読化されたペイロードをデコードして実行したんです。トロイの木馬のようなものですね。隠されたものを仕込んでいたわけです。
そしてそのペイロードは第二段階のスクリプトを取得しました。そのスクリプトはバイナリをダウンロードして実行し、MacOSの検疫属性を削除することで、MacOSの組み込みマルウェア対策システムであるGatekeeperがそれをスキャンしないようにしたんです。
プロンプトインジェクション攻撃の仕組み
ここで重要なのは、私たちは初日からこれについて話してきたということです。プロンプトインジェクションというアイデアについてです。
少し立ち戻って、なぜこれが起こっているのかについて話しましょう。プロンプトインジェクションという用語を使っていて、その意味は何となく理解していますが、細部が失われているように感じます。ですから、少し詳しく見ていきましょう。
一般的にテキストは、やり取りできるデータとして見られることが多く、かなり安全だと考えられています。通常、txtファイルやMDファイル、readmeファイルのようなものは、かなり安全です。
もちろん、これらのテキストファイルにも問題はあります。危険性はありますが、それらは技術的なものでした。バグを悪用したり、拡張子を偽装したりといったことです。
しかし今日では状況が異なります。これらのtxtファイルから来る危険は意味的なものだからです。なぜなら、これらのLLM、これらのエージェントは、テキストが何を意味するかを理解するようになったからです。
以前は、コンピュータがテキストファイルを受け取ったとき、文字を表示することはできましたが、テキストの中に何があるかを必ずしも理解していたわけではありませんでした。これらのAIエージェントはそれを読んで理解します。
そして、特定のコマンドがそこに配置されていれば、それを読んで、ああ、このテキストファイルに書いてあるこのことを実際にやるべきだと理解し、そのコマンドを実行することができるんです。
これらのAIエージェントは、ただ役に立とうとしているだけなんです。ですから、ユーザーが気づかなかった場所に特別に言葉を選んだコマンドを忍び込ませることができれば、このシステム、特にコンピュータにインストールされていたり、コマンドラインインターフェースへのアクセス権を持っている場合、そのスクリプトを実行してペイロードを配信し、ユーザーが気づかないうちに全てを台無しにしてしまうんです。
つまり、今やこれらの.txtやMD(LinuxやiOSの場合)は、私たちが考えるただのテキストではないということです。まだただのテキストではありますが、このテキストは理解できないものではありません。このテキストは今やAIエージェントがコマンドとして、コマンドラインインターフェースで何かを実行したり、ツールを実行したりするためのものになり得るんです。レシピ、ツールの一部を構築したり組み合わせたりするためのレシピです。
そしてそのツールが、隠されたAPIキーを全て取得して、それらを入手しようとしている誰かに送信するといったことをするわけです。
ですから、ボットに「このファイルを開いて指示に従え」と言って、その指示が「このコマンドを実行しろ」と言っている場合、AIエージェントは指示に従うためにそのコマンドを実行する必要があると考えるんです。
被害の実態と対処方法
もしOpenClawを使ったことがあるなら、ClawHubや他のどこかでこれが問題になり得る場所に行ったことがあるなら、つまり明らかにウェブ上のあらゆる場所でこれに遭遇する可能性はありますが、具体的にはこれは十分に大きなターゲットなので、多くの異なる人々がおそらくこれを狙っていたと思います。
ですから、特にClawHubを使ったことがある方、そこからスキルをダウンロードしたことがある方には、全てのAPIキーをローテーションすることを強くお勧めします。
実際にAPIキーを入手する場所、Gemini、Anthropicなどに行って、基本的に全てを更新してください。新しいAPIキーを取得してください。エージェントに再度渡したいAPIキーは何でも、そこに行って、envファイルに入って全てを更新してください。
私について少し補足しますと、私はこれをフルタイムでやっているので、こういったことにどう取り組んでいるかというと、色々試してみて、それについて投稿するんです。それについてコンテンツを作ります。
私は動画の中であなたにやらないように言っていることを、自分では結構やる傾向があります。私をモルモットにさせてください、テストしているんです。ですから、これらのツールを使って作業している間、クレジットカードのAPIキーを渡したり、深く考えずに何でもかんでもそれに接続したりしてきました。危険性を十分に理解した上でです。
ですから、それを理解することが重要です。私は盲目的にこれに取り組んでいるわけではありません。リスクがあることは知っていました。スタントダブルがいるのと似ていますよね。彼らは窓から飛び降りるなど、危険な状況に身を置くことになることを知っています。そのための報酬を得ているわけです。それが彼らの仕事なんです。
ですから、私もある意味、全力で突き進んで、何か悪いことが起こる可能性があることを理解しながら取り組んできました。そして残念ながら、いくつかの情報が漏洩したと思います。
セキュリティ上の懸念があると思ったものは全て閉じました。全てのAPIキーをローテーションしました。ログファイルやその他の場所にあったかもしれない個人情報だと思われるものを削除しました。
そして今、もう一度このことに取り組んでいますが、今回ははるかに慎重にアプローチしています。
私はこれが問題になることを知りながら取り組んできました。ですから、使ったもの全て、追加したもの全てに、セーフティのようなものが組み込まれていました。
これらのエージェントをテストするために使ったクレジットカードには、非常に具体的な少額の限度額が設定されていたので、もしこのようなことが起きても、その情報が漏洩しても、被害は限定的になるようにしていました。
全てのAPIキーについても、変な使い方がないか追跡しています。それらも低い限度額に設定されています。多くは手動でチャージするプリペイド残高のようなものになっています。
そして、全速力で行ったらどうなるか見てみようというアイデアからアプローチしています。あまり慎重にならずに、もし問題に遭遇したらそれについて報告できますし、アップデートを提供できます。これが、このような問題に遭遇した最初の機会です。これまでのところ、幸運にも、そして多くの他の人々もそうだったようですが。
Ciscoによるオープンソーススキルスキャナー
現在、Ciscoという大手アメリカのネットワーキングソフトウェア会社などが、GitHub上でオープンソースのスキルチェッカーを公開しています。これは興味深いですね。
このようなものをどうやって作るのか考えていました。なぜなら、エージェントにドキュメントをスキャンさせるわけにはいかないからです。だって、それを読むわけですよね。それを見るわけですから、それが攻撃面を作り出してしまいます。
スクリプトを作成して、それを通過させて何かを探すことはできるでしょうか。確かにできます。しかし、起こり得る全ての問題をどうやってキャッチするかを考え出さなければなりません。これを行う方法は一つだけではありません。百万通りの異なる方法があります。
そしてもちろん、これが情報を漏洩させた最初のものではありません。
2月2日、Whizという会社の研究者たちが、Moldbookという、これらのOpenClawエージェントのためのソーシャルネットワーキングエージェントのようなものですが、それ自体に大規模なセキュリティの欠陥があったことを明らかにしました。
この露出により、150万以上のAPI認証トークン、35,000のユーザーメール、そしてこれらのAIエージェント間の4,000以上のプライベートメッセージが明らかになりました。
そして多くのユーザーがキーを暗号化していなかったため、NF環境に入れていませんでした。暗号化されていたようです。多くの人がチャットログに入れていたようで、研究者たちはチャットログにOpenAI APIキーやAnthropic AWS APIキーがそのまま置かれているのを発見しました。
チャットログに潜む危険性
これも大きな問題だと思います。多くの人が理解していないのは、これらのチャットログについてです。特にMessageや他のものを使っている場合、保存されているんです。エージェントがアクセスできるファイルと一緒に保存されていますが、Telegramや他のものを使っている場合も、そこで全ての履歴を見ることができます。
ですから、初期の段階で「ねえエージェント、これがAPIキーだよ。さあ、これを追加して覚えておいて、それを使って色々やって」と言った場合、エージェントは賢くそれをファイルに追加するので、後でそれに関するセキュリティが確保されます。
間違ったコマンドを実行すれば、まだ抽出される可能性はありますが、その秘密鍵はまだチャットログに残っているんです。ですから、たとえエージェントが何も悪いことをせず、キーを保存した後、そこから先は何も悪いことをしなくても、そのキーはまだチャットログに暗号化されずに残っているんです。
OpenClawの今後と対策
では、これは何を意味するのでしょうか。これでOpenClawは終わりなのでしょうか。このツールは完全に使えないものになったのでしょうか。まあ、そうでもないんです。
初日に言っていたように、多くの人がこれでひどい目に遭うでしょう。多くの人が認証情報を失うでしょう。しかしこれはまた、AIエージェントについての理解を進める速度を上げ、セキュリティをより早く押し進めることを可能にするでしょう。そして実際にそれが起こっているのを目にしています。
例えば、Ciscoがリリースしたスキルスキャナーは、LMの意味的理解検索を使って、これらのスキルファイルを調べて何がおかしいかを確認します。
既知のウイルスシグネチャを探し、「オーケー、これはPDFサマライザーだ。スキルの実行方法の実際の説明で言っていることは、それが本来やるべきことと一致しているだろうか」ということを理解しようとします。
なぜなら、エージェントに何か奇妙な外部URLを実行するよう求めている場合、フラグが立てられるからです。「オーケー、指示は本来やるべきことをやっているようには見えない」と言われるんです。
これはよりLMベースのものです。さらに、より古典的なスクリプトベースのものもあって、レッドフラグとなるコマンドはフラグが立てられます。
そしてもちろん、明らかなものもあります。例えば「以前のコマンドを全て無視しろ」というようなことを言えば、それは間違いなく即座のレッドフラグです。
Ciscoの研究者たちがこの問題をどのように発見したかについて、興味深いことがあります。彼らは実際、このスキルスキャナーのベータ版のようなものを持っていて、研究や開発に取り組んでいたようで、それを当時のトップスキルの一つである「What Would Elon Do」というものに使ったんです。
そのスキルは、どうやら組織的なボット投票キャンペーンを通じて、チャートの第1位に操作されていたようです。
そしてそのスキルは、多くの悪質なことも行っていました。その一つは、エージェントが応答について考えている間に、Nファイル(私たちが漏洩させたくない全ての秘密鍵を保存している場所)を圧縮して外部サーバーに送信するというものでした。
Cisco報告書の主要な発見
Ciscoの報告書からの主要な発見には、かなり恐ろしいものが含まれていました。
まず第一に、彼らはスリーパーエージェントが作成された例を発見しました。エージェントのメモリにスリーパー指示を植え付けることができ、それは数週間後、おそらく数ヶ月後、特定の単語やコマンドが言及されるまで起動されないんです。
彼らはまた、これらのエージェントにコンテナから脱出する方法を教えました。例えば、安全なDockerコンテナ上にいる場合、どうやって脱出してホストの実際のシステムに到達するか、です。
そしてもちろん、様々な認証情報の収集ですよね。OpenAIやAWSや、エージェントと一緒に保存している可能性のある他の全てのAPIキーをどうやって盗むか、です。
そしてそのツールは、試してみたい方のためにGitHub上で利用可能です。Cisco AI Defenseという組織の下にあります。これは、私たち全員が知っているCiscoという会社の一部です。
そして、超超パラノイアな方々の中には、おそらく最近は持っておいた方がいいスキルでしょうが、これは本当にCiscoの一部なのか、と考えている人もいるでしょう。Cisco AI Defenseと呼ばれているからです。Ciscoとは呼ばれていません。では、誰かがCiscoになりすましているのでしょうか。
まあ、私は二重チェックしました。これはcisco.comから、彼らのウェブサイトから、実際のブログからです。Amy Changが書いた投稿で、彼女は脅威とセキュリティ研究AIソフトウェアなどのリーダーです。彼女とVeneath Saiが共著しています。
ですから、これは実際のCiscoのウェブサイト上にあり、私たちが今話しているスキル、スキルスキャナーを探索する、というその特定のGitHubへのリンクです。
そして、ご自分でゆっくり読みたい場合のブログ投稿のタイトルは「OpenClawのような個人用AIエージェントはセキュリティの悪夢である」です。
今後の展望と実践的アドバイス
ということで、ここで終わりにしようと思います。要点は、私たちはスキルスキャナーなどを使って、このようなものに対するより多くの防御を開発しているということです。そしてこの多くは、いくつかのポジティブな影響をもたらすでしょう。なぜなら、より多くの人々が、これらのAIエージェントを使いながらも自分自身を守ることができるツールをより多く手に入れることになるからです。
繰り返しますが、これらのAIエージェントが使えないとか悪いとかいうことではありません。非常に非常に非常に有能なんです。しかし、能力を上げるにつれて、これらのセキュリティの悪夢や、それに伴う危険性も上がっていくんです。
ですから、私はそれらがどれだけ優れているかについてのスタンスを変えていません。まだ信じられないほど信じられないほど優れています。
私はまだこれを使い続けるつもりですが、今後はより多くの注意を払って進めていきます。チャットログ、実行できるスキル、そしてもちろん、これらのオンラインコミュニティなどへの接続、これらのエージェントが相互作用して様々なテキストを読まなければならない場所を含む、全ての異なる攻撃面を理解しながらです。
それらのテキストに正確に何が含まれているかは分かりませんが、どれだけの人が、自分のシステムのどこかに、自分が全く知らない奇妙な指示を持っているでしょうか。実際、これらのスリーパーエージェントの数はどれくらいなのでしょうか。
ですから、私たちは間違いなく西部開拓時代のような状況に生きています。これらを実行している場合は、絶対に注意してください。私は本当に、完全にワイプして最初からやり直すことを真剣に検討しています。
理想的には、時間の経過とともに、このスキルスキャナーだけでなく、全てのメモリをスキャンして、そこにあるべきでないものを見つけることができる他のものも手に入れられるでしょう。
チャットログスキャナーのようなものも必要です。保存されるチャットログのことです。ところで、十分明確にしていなかった場合のために言いますが、全てが保存されます。
チャットログにあってほしくないものがある場合は、それらを削除する方法を見つけ出す必要があります。もちろん、AIエージェントに特定の部分を削除するよう頼むこともできますが、この時点ではそれでさえ十分ではないかもしれません。
ですから、私は間違いなく未来に対してまだ非常に興奮しています。正直なところ、これがこれほど大きな問題であることは残念です。そして、これが起こったことを非常に喜ぶ人々がたくさんいるでしょう。なぜなら、彼らはこれらのセキュリティ問題が存在することを指摘していたからです。
私たちのほとんどは知っていたと思います。セキュリティ問題があることを理解していました。このようなことが起こるだろうと知っていて、それでも新しい技術をテストすることを決めました。西部開拓時代に向かっていくことを知りながらです。
しかし、ええ、多くの人が「私が言った通りだろう」というダンスをすることを期待してください。もうすでにやっていないとしても、です。
そして、OpenClawを使っていて、何をすべきか迷っている場合、私がやろうとしていることは、全てをワイプして最初からやり直し、チャットウィンドウを通してではなく自分で全てのキーを追加することです。
繰り返しますが、それは常に悪いアイデアでした。私は人々にそうするよう勧めたことは一度もありません。ただ、これらのエージェントがこれらの能力を持つ前は、リスクが低かっただけです。今は、これに対する非常に信頼できる現実的なリスクが間違いなくあります。
しかし、今はみんなが構築している最中で、これらのものは、あなたに起こる可能性から、これらのものの一つに触れれば起こる可能性がはるかに高いという状態になっています。
以前の私にとっては、失う可能性のある量を制限することで、そのリスクを取る余裕があったんです。よね。あるAPIに20ドルのクレジットがあっても、それほど大した問題ではありません。
しかし今、リスクプロファイルは高くなっています。今、後でスクリプトを実行する方法、これらのスリーパーエージェント、あるいは何と呼びたいものでもありますが、それらも存在するなら、これは本当にゲームをかなり変えてしまいます。
ですから、最初からやり直して、このCiscoのスキルスキャナーをインストールするか、あるいはスキルを自分自身でゼロから構築して、この時点で正確に何が入っているかを知る、ということです。
様々なMoldbbotソーシャルネットワークなどに接続することは、おそらく良いアイデアではないかもしれません。
しかし、いずれにせよ、この全体についてどう思うか教えてください。これはあなたの全体的な体験を台無しにしましたか。使い続けるつもりですか。
記録のために言っておきますが、私はまだこれを使い続けるつもりです。引き下がりません。ただ、セキュリティやそういったことについて、もっともっと深く考える必要があるだけです。
とにかく、どう思うか教えてください。私の名前はWes Rothです。それでは。
コメント