オープンソースのAIエージェントフレームワーク「OpenClaw」のスキル配布プラットフォーム「ClawHub」を標的とした大規模サプライチェーン攻撃「ClawHavoc」が発覚しました。研究者の調査により1184個以上の悪意あるスキルが確認されており、主にmacOS向けの情報窃取マルウェア「Atomic macOS Stealer(AMOS)」を配布する仕組みになっていました。さらに複数のリモートコード実行(RCE)およびコマンドインジェクション脆弱性がOpenClaw本体にも発見されており、CVSSスコアは最大9.6に達します。
OpenClawは2026年1月末にGitHubスター18万件を超えた急成長中のAIエージェントフレームワークで、開発者がサードパーティのスキル(プラグイン)を組み合わせてAIエージェントを構築できる設計が特徴です。ClawHavocはこのエコシステムの開放性を悪用したもので、正規スキルに見せかけた悪意あるパッケージを大量投入するという手口はPyPIやnpmへの攻撃と同様の手法です。AIエージェントフレームワーク特有のリスクとして、スキルがシステムコマンドやファイルへの直接アクセス権を持つケースが多く、一度悪意あるスキルが実行されると被害が広範に及ぶ可能性があります。
セキュリティ研究者のX上での注意喚起ツイートが多数拡散し、「AIエージェントの急速な普及がセキュリティ対策を追い越している典型例」として広く認識されました。Redditでは「AIアダプションがセキュリティの境界を追い越した」という見方が広まり、OSSのAIツールのサプライチェーン管理の必要性を訴える声が増えています。Hacker Newsでは、急成長プロジェクトにおけるセキュリティ機能の後付けリスクについての深い議論が展開されました。
AIエージェントフレームワークの普及に伴い、スキル・プラグインのサプライチェーンセキュリティは今後の重要課題です。開発者は利用するスキルの出所確認と権限の最小化、定期的なセキュリティスキャンの実施を強く推奨されます。