4万6000のMarkdownファイル。AIエージェントがこれをむさぼり、解析して実行する——盲目的な信頼だ。
そんな中、開発者の一人がスキャナを構築した。clawhub-bridge。コードのバグを探すんじゃない。この「スキル」がエージェントに囁く内容をフラグ立てるんだ:データ外出し?キー盗み?権限昇格?
145のパターン。42のカテゴリ。OpenClawの膨大なアーカイブからランダム2000スキルの結果:14.5%が引っかかった。291スキルだ。キュレーションセット?13.1%。
生の数字が語る真実
全アーカイブサンプルからクリティカル1034件、高406件、中75件。トップの悪党はcurl POST経由の外部データ外出し——576件。スキルのデータが訳のわからんサーバーへ流れる。
次はキリル文字ホモグリフ、158件。普通の文字そっくりのUnicodeトリックで、エージェントの挙動をフィルタ回避。
sudoでの権限昇格:82件。無断ソーシャル投稿:60件。SSHキー奪取:43件。暗号通貨送金:29件。curl | bashでのリモートコード実行すら28件。
スキャンで見つかった逸品を挙げると:
claude-connectなるスキルが「ClaudeサブスクをClawdbotに1ステップで接続」と謳う。実際は——macOS KeychainからOAuthトークン読み取り、他アプリのコンフィグへ書き込み、LaunchAgent作成で永続化(2時間おき自動実行)。
便利ツール?それとも資格情報窃取テンプレ?意図は純粋かもしれないが、パターンは危険の叫び。スキルが侵害されたら全トークン終了だ。
OpenClawのキュレーションなぜ機能しない?
キュレーションコレクション——559スキル、手選びの精鋭。失敗率13.1%。全アーカイブの14.5%に近い。だがよく見ろ。
キュレーションにキリル文字ホモグリフはゼロ。全アーカイブ158件。露骨なゴミは弾くが、巧妙なナイフを見逃す。
深い委譲チェーン——50件。エージェントがエージェントを呼びエージェントを呼ぶ。「指示無視」パターン(14件)と組み合わせりゃ、confused deputy攻撃だ。信頼ボットが悪意の人形に。
OS永続化?macOS LaunchAgent18件、systemdサービス14件。正規デーモンならいいが、データ送信やキー読みとセットなら致命的。
偽陽性もある——テストペイロードの監査ツール、中国語ゼロ幅スペースの整形用。キュレーションのフラグを手動精査すると本物の脅威は5-8%。それでも4万6000スキルで数千件だ。
ここで独自の見解。他では見ない視点だ。これはnpmの2018年監査地獄の再来。当時トップパッケージの14%にマルウェア。OpenClawも同じ水準だが、もっとヤバい:ライブラリじゃなく自律エージェントの振る舞い設計図だ。npmマルウェアは静かに資格情報を盗むが、OpenClawスキルはAIの脳を乗っ取る。歴史が示す:マーケットプレイスは振る舞いスキャンを無視したら終わり。放置すりゃ2025年に「Clawbleed」爆発だ。
振る舞いスキャンがOpenClawの救世主か?
ClawSecやClawDefenderみたいな既存ツール?パッケージのチェックサムやCVE探し。SSHキー吐き出しを命じるクリーンなスキルには無力。
clawhub-bridgeがその隙間を埋める。振る舞いパターンマッチング——スキルが何を指示するかで判断。インストールは簡単:pip install git+https://github.com/claude-go/clawhub-bridge.git。
マーケットは一気に動く。OpenClaw爆発中——4万6000スキルは本物の価値。でも外出しフラグごとに信頼が削られる。7分の1が危険信号鳴らすMarkdownチェーンなんて開発者はデプロイしない。
キュレーションは絆創膏。全アーカイブのホモグリフ洪水が証明だ。エコシステムは量で栄え、不安で死ぬ。OpenClawは岐路:振る舞いスキャナを組み込め、さもなくば初期Dockerリポジトリみたいに採用停滞。
偽陽性は腹立つ——教育スキルが引っかかる。だが文脈認識ルールで磨けばいい。8%の誤警報より、静かなキー盗難のほうがマシだ。
何よりステガノグラフィの規模が不気味。ランダムサンプルでホモグリフ158件は偶然じゃない。意図的な回避、国家アクターか利益追いの連中が水面探り。UnicodeねじくれたMarkdownを実行するエージェント?ワークフローが感染経路だ。
エージェント間チェーンがこれを増幅。深い委譲50件。フラクタルリスク——悪玉スキル1つでチェーン全体感染。
暗号送金(29件)はマネーロンダリングの探り。ソーシャル投稿(60件)はディスインフォ農園だ。
エージェント経済全体への警告
OpenClawだけじゃない。前のスキャンで他マーケット12%悪意。今ここで13-15%。パターンが一致。
AIエージェントは新ランタイム。スキルは新プラグイン。だが振る舞いセキュリティなしじゃnpm 2.0——マルウェア天国。
大胆予測:2025年Q2までにOpenClawがパターンスキャン義務化か「SecureClaw」フォーク。ユーザーが求めるし、エンタープライズは触らん。
誤解すんな——OpenClawは天才的。コミュニティスキルでエージェントが加速。でも下腹部を無視。14.5%不合格率?端役じゃない、警報だ。
**
🧬 関連インサイト
よくある質問
OpenClawスキルとは何か、なぜスキャンする?
OpenClawスキルはAIエージェント向け指示のMarkdownファイル——エコシステムに4万6000超。スキャンでデータ外出しやホモグリフなどエージェント乗っ取りパターンを暴く。
OpenClawの14.5%不合格率はどれほど深刻?
サンプル2000スキルの14.5%不合格、精査後5-8%が本物のリスク。キュレーションセット13.1%——キュレーションは助かるが脅威根絶じゃない。
開発者はclawhub-bridgeを使うべき?
もちろんだ——既存ツールが見逃す振る舞いリスクを検知。pipインストールしてスキルデプロイ前にスキャンせよ。
