ClawHavoc：341の悪意あるスキルが OpenClaw ユーザーを標的にした事件

2026年1月、セキュリティ研究者がClawHub ─ OpenClaw の公式スキルマーケットプレイス ─ で341の悪意あるスキルを発見しました。ClawHavocと名付けられたこのキャンペーンは、APIキー、ブラウザの認証情報、暗号通貨ウォレットを窃取するAtomic Stealerマルウェアを配布しました。

何が起きたか

攻撃者はClawHubに正規に見えるスキルをアップロードしました ─ smart-email-assistant、calendar-sync-pro、file-manager-plus のような名前で。スキルは宣伝通りに動作しましたが、隠されたコードが含まれていました：

1. 環境変数（APIキー、トークン）の抽出
2. ブラウザの認証情報ストアの読み取り
3. 攻撃者が管理するサーバーへのデータ送信
4. 永続的なバックドアのインストール

悪意あるスキルは検出前に数千のインストールを獲得しました。

攻撃の手口

タイポスクワッティング

多くの悪意あるスキルは人気のあるものに似た名前を使用しました。openclaw-gmail vs 正規の openclaw-google-mail。急いでインストールするユーザーは違いに気づきません。

遅延実行

マルウェアはすぐには起動しませんでした。データ窃取まで24〜48時間待つことで、インストールと侵害の関連付けを難しくしました。

正規の機能提供

すべての悪意あるスキルは実際に宣伝された機能を提供していました。スキルが動作するため、ユーザーに疑う理由がありませんでした。

影響を受けていますか？

インストール済みスキルの確認

openclaw plugins list

公開された悪意あるスキルリストと照合してください。主な指標：

• 未認証パブリッシャーからインストールされたスキル
• 既存の人気スキルと重複する一般的な名前のスキル
• 2025年11月から2026年1月の間にインストールされたスキル

侵害の確認

以下の兆候を確認してください：

• 予期しないAPIの使用量急増
• クラウドアカウントへの見覚えのないログイン
• 作成した覚えのない新しいSSHキー
• OpenClaw インスタンスからの予期しないアウトバウンドネットワーク接続

影響を受けた場合の即時対応

1. すべてのAPIキーをローテーション ─ OpenClaw インスタンスがアクセス可能なすべてのキー
2. 疑わしいスキルをアンインストール ─ 未認証のスキルを削除
3. ブラウザの認証情報を確認 ─ 保存されている認証情報のパスワードを変更
4. サーバーを監査 ─ 不正なプロセスとSSHキーを確認
5. OpenClaw を更新 ─ 最新バージョンにはスキル検証が含まれています

マネージドホスティングによる保護

ここがセルフホスティングが本当に危険になるところです。自分のサーバーにスキルをインストールすると、悪意あるコードがそのマシン上のすべてにアクセスできます。

ClawTank は設計により以下のようにリスクを軽減します：

• コンテナ分離 ─ 各ユーザーがサンドボックス化されたDockerコンテナで実行。侵害されたスキルがホストシステムや他のユーザーにアクセスできない
• 精査されたスキル ─ 認証済みスキルのみでプリ設定
• root権限なし ─ スキルがシステムレベルのバックドアをインストールできない
• 自動更新 ─ ユーザーの介入なしにセキュリティパッチを適用
• ネットワーク監視 ─ 不審なアウトバウンド接続をフラグ

教訓

ClawHavocインシデントは、オープンマーケットプレイスの根本的な課題 ─ 信頼 ─ を浮き彫りにしています。npm、PyPI、そして今やClawHubも、すべてサプライチェーン攻撃に直面しています。

ほとんどのユーザーにとって、最も安全なアプローチは、利用可能なスキルを管理し脅威を監視する事業者によるマネージドホスティングです。

安全に利用する

ClawTank でサンドボックス化されたマネージド OpenClaw ホスティングをデプロイ。AIアシスタントが精査されたスキル付きの分離コンテナで稼働 ─ サプライチェーンリスクなし。