AIエージェントはMarkdownスキルをお菓子のように食らう。
そしてOpenClawはそれが46,000個まで爆増した——任意のエージェントが吸い上げて、解析して、二の句も告げさずに従う生の指令だ。デジタル執事に『実は君の財布を他人に繋ぐレシピ』を手渡すようなもの。その悪夢を僕は監査したばかりだ。
clawhub-bridgeを作った。バグコードではなく、振る舞いの危険信号を狩る。145パターン、42カテゴリ——怪しいサーバーへのcurl砲撃、無実に偽装したホモグリフ、sudo権奪取。アーカイブ全体からランダムに抽出した2,000スキルサンプル?14.5%が落ちた。『キュレーション済み』セットでさえ13.1%だ。
なぜOpenClawスキルの14.5%が不合格になったのか
2010年頃のAndroidアプリストアを想像してみてくれ。デベロッパーがスパイウェア漬けのAPKをアップロードしても、『実際に何をするのか』じゃなく『コンパイルできるか』だけしかチェックされなかった時代だ。OpenClawのMarkdownスキル?同じ雰囲気だ。エージェントはそれを金科玉条として扱う——ダウンロードして、実行して、何も考えない。
データセットをクローンした。『品質フィルタ済み』559個と、46,655個の野生ものから抽出した2,000個スライス。スキャナー始動。
フルアーカイブサンプルから1,034件のCRITICAL、406件のHIGH、75件のMEDIUM検出。
悪役トップ?576スキルが外部サーバーにcurl POSTでデータを流す。158個のキリル文字ホモグリフ——あの悪質な『а』(U+0430)が目を騙しながら指令を反転させる。82個がsudoを求める。60個がソーシャルに自動投稿。暗号送金まで29個。
だが、ここが生データにない僕の新しい視点だ:これはAOLチャットルーム時代を鏡写しにしている。あの頃『スキル』はマクロで、アドレス帳を吹っ飛ばした。AIエージェントはそれを増幅する——1つの悪質スキルが50他スキルに委譲して、有用なボットはゾンビ軍団に変身。大胆な予測?ガードレールなしで行けば、年末までに最初の『OpenClawワーム』が見える——エージェント間でホップする。
短編:キュレーションはバンドエイドだ。
ポリッシュされたコレクションはホモグリフを完全回避した(158対ゼロ)。だが不合格率?ほぼ同じだ。フィルタは露骨なのは引っ掛かる。微妙なのはすり抜ける。
Claudeを見てくれ——『ワンステップClaudeハック』と称する。現実?macOS Keystoreを掘り返してOAuthトークンを盗む、LaunchAgentで2時間ごとに永続化。正当な目的?あるかもしれん。盗聴ツールと瓜二つだ。そのスキルが危殆に晒されれば——トークン、あらゆるとこに。
あるいはエージェント対エージェント罠:50層深い委譲チェーン、加えてignore_instructionsフック。君の信頼あるClawdbotは被害者になって、未検証の親戚からマルウェアを実行する。
OpenClawは自分のエコシステムを信用できるのか
18スキルにLaunchAgent。14個にSystemdサービス。デーモン用なら問題ない——SSHキースニッフ(43件)やchmodトリック(32件)と組になるまで。永続的な足がかり、ベイベー。
偽陽性も存在する——監査人がテストペイロードを埋め込む、中国の幅ゼロスペースが見栄え作字。キュレーション済みフラグ73個を手動トリアージ?本当の脅威:5~8%。それでも野生の数千だ。
ClawSecみたいな既存ツールはチェックサム、CVEを追う。ここじゃ無用だ。清潔なスキルでも『キー流出!』と叫べる。振る舞いスキャン——それがプラットフォームシフトだ、iOSパーミッションがアプリを革命したみたいに。
OpenClawのハイプ?『コミュニティ主導の理想郷!』かわいい。だが14.5%の不合格率は叫んでいる:スキルはドキュメントじゃなく実行ファイルとして扱え。サンドボックスしろ。振る舞い検証しろ。もしくはAIのゴールドラッシュが黄鉄鉱に変わるのを見守れ。
エネルギーが高まっている——これは悲観じゃない。安全なAIプラットフォームの鍛冶だ。Windows VistaのUAC覚えてる?ぎこちないスタートだったが、マルウェアの洪水を抑えた。OpenClawはエージェント・サンドボックスを生み出すかもしれん:アクション予見、パターンホワイトリスト、AI対AI検証。
僕が最も怖い微妙なパターン
キリル文字ホモグリフ。158がアーカイブに。フィルタはそれを逃す、『見た目は正しい』から。1字スワップで『レポート印字』が『ロシアにキー送信』になる。
curl | bash経由のリモートコード実行?28回。古典的だ。
権限昇格。スキルにsudo?君の代わりに走るエージェント——昇格する。ドカン。
暗号オペ。29スキルがウォレットをいじる。『ヘルパーツール』と言い張る。あんたいい加減にしろ。
もっと悪い:組み合わせ。流出+永続化=足がかり。委譲+無視=混乱攻撃。
OpenClawの野放図時代を直す
pip install git+https://github.com/claude-go/clawhub-bridge.git。自分で動かしてみろ。
キュレーション・ギャップは明るみに出た:レート似てるが、毒が違う。フルアーカイブはホモグリフの祭り。キュレーション済みはもっと陰湿だ。
僕の洞察?これは過去の12%マーケットプレイス懸念を確認する——今13~15%がフラグ立つ、エコシステム全域。AIエージェントはアプリじゃない。拡張可能な脳だ。悪質スキルはロボトミー待ちだ。
プッシュ:スキルに必須の振る舞い署名。異常検知MLを持つエージェント・ハブ。クリーンスキル報奨金制度。
ポテンシャルに驚嘆しろ——安全なOpenClawはAIのApp Store 2.0たり得る、プラットフォームがコードから意図へシフトしていく。
一撃:盲目的にインストールするな。
緻密なまとめ:ツールは遅れてるが、clawhub-bridgeが証明した——スキャンは機能する。数字は嘘をつかん:2,000個で1,034クリティカル。トリアージして5~8%に真の悪意、46kにスケール?感染症だ。だがキュレーションがプログレスを示唆する——無視するな、反復しろ。
史的並行:AndroidのPlay Protectは混沌から進化した。OpenClawは次だ。
🧬 関連インサイト
- 読む: JavaScriptのArray.flat()はエレガント。でも君のネストデータには、もっと荒い武器がいるかもしれない。
- 読む: ある開発者が₹0で本番サイトを作った:実際に動くAWS-Cloudflareブループリント
よくある質問
OpenClawスキルとは何か
AIエージェント用の指令をパックしたMarkdownファイル——エコシステムに46,000+個、ダウンロードされ生で実行される。
OpenClawスキルのうち悪質パターン含有は何個か
2,000スキルサンプルで14.5%がスキャン不合格。トリアージ後の本当の脅威は5~8%。
clawhub-bridgeは何をするのか
流出、ホモグリフ、昇格のような145の振る舞いパターンでスキルをスキャン——AIエージェント向け振る舞いセキュリティ。
