847

Compromised Skills

CVSS 9.9

Max Severity

48 Hours

Patch Response

発見

2/3、研究者@llmattackが'smart-notes-organizer'(2,400インストール)がDNSトンネリングでTelegramチャット履歴をC2サーバーに送信していることを発見。

驚異的なスケール

12カテゴリ847スキルが侵害。多くのペイロードは72時間正常動作後に起動し、コードレビューを回避。推定被害者23,000人。

攻撃ベクタ分析

データ窃取 (412スキル)

HIGH

DNSトンネリングでTelegram/WhatsApp、ファイル、クリップボードデータを窃取。

暗号通貨マイニング (189)

MEDIUM

低強度XMRマイニング(5-8% CPU)。ボットネットは月~$12K。

プロンプトインジェクション (134)

HIGH

IDENTITY.mdを実行時に改変しエージェント動作を変更。

認証情報収集 (112)

CRITICAL

APIキー、OAuthトークン、環境変数を傍受。

CVE-2026-25253：ワンクリックRCE

CVSS 8.8のリモートコード実行。gVisorサンドボックスをエスケープしホストで任意コマンド実行。

CVE-2026-25253 — EXPLOIT CHAIN

# 攻撃チェーン（簡略）:
# 1: 正常ツール宣言
# 2: パストラバーサル + シンボリックリンク解決 
# 3: safeBinsバイパス (CVE-2026-28363)
# 4: ホストで任意コマンド実行
# 影響: ~12,000ユーザー | 修正: 発見から6時間

緊急対応タイムライン

🔴2/3 14:00@llmattack 初期発見投稿

🟡2/3 18:00ClawHub ダウンロード一時停止

🟢2/4 02:00緊急パッチ v2026.2.1 リリース

🟢2/4 08:00847スキル隔離

🟢2/5VirusTotal強制スキャン開始

🟢2/7認証済みパブリッシャー制度開始

新セキュリティアーキテクチャ

DEFENSE IN DEPTH

多層防御:
L1-提出: VirusTotal + SAST + GPG署名
L2-サンドボックス: gVisor + ネットワークポリシー + Seccomp
L3-ランタイム: 行動監視 + DLP + トークンスコーピング
L4-コミュニティ: 認証バッジ + バグバウンティ($50K)

ユーザーセキュリティチェックリスト

v2026.2.3+に更新

2つのクリティカルCVEパッチ

openclaw security audit 実行

インストール済みスキルスキャン

TOOLS.md権限確認

不要な権限を削除

APIキーローテーション

2/4前にスキルインストール済みの場合

教訓

エージェントマーケットは新アプリストア

iOS/Androidがマルウェア対応にセキュリティチーム構築したように、AIエージェントプラットフォームも専門インフラが必要。

サンドボックスは必要だが不十分

gVisorは99%をブロック。残り1%が壊滅的。多層防御が唯一の方法。

プロンプトインジェクション = AIのSQLインジェクション

IDENTITY.mdの実行時改変はSQL injection相当。修正：ブート後読み取り専用。

よくある質問

Q1. データは漏洩した？

2/4前に847スキルのいずれかをインストールしていた場合、全APIキーをローテーション。'openclaw security audit'で確認。

Q2. ClawHubは今安全？

大幅に安全。全スキルがVirusTotal、静的解析、依存性監査を通過。ただし100%安全な市場はない。

「ClawHavocはOpenClawの失敗ではない — 成熟の瞬間。重要なのは対応。」— セキュリティ諮問委員会