OpenClaw 上の 3rd-Party “skill” の 17% は悪意:暗号通貨や SNS を標的に機密データを収集

17% of 3rd-Party Add-Ons for OpenClaw Used in Crypto Theft and macOS Malware

2026/02/06 hackread — 新たなオープンソース AI プロジェクトである OpenClaw が、GitHub で 16万以上のスターを獲得し、開発者コミュニティを席巻している。OpenClaw は AI ツール・ボックスであり、複数のアプリケーションにまたがってアカウント管理やタスク実行を行える。しかし、周知のとおり、大きな注目が集まる場所には、詐欺師も必ず近づいてくる。このエコシステムを調査した Bitdefender Labs の研究者たちにより、看過できない問題が明らかになった

2026年2月の最初の週で確認された “skill” (AI に機能を与える小さなコード片) のおよそ 17% が、実際には悪意のものであった。それらは、単なる軽微なバグというものではなく、セキュリティの回避とデータの窃取を目的として設計されている。

現代版トロイの木馬

Bitdefender Labs の調査によると、攻撃者は人気ツールを複製し、わずかに異なる名称を用いることで、正規のものに紛れ込んでいる。さらなる分析により確認されたのは、Base Trading Agent という “skill” である。この “skill” は自動のトレーディングを謳っていたが、説明文の中に外部ファイルをダウンロードさせる指示を埋め込んでおり、コードとして実行させるという、明確な危険信号を出していた。

Scammers hiding malicious instructions in the description (Source: Bitdefender)

これらの悪意の “skill” は、インストール後に侵入口として機能し、特定の IP アドレス “91.92.242.30” との通信を確立して、コンピュータを乗っ取るためのスクリプトを取得する。当初は、個人ユーザーにとっての問題と見なされていたが、現在では企業環境にも拡大しており、研究者たちによると、業務ネットワーク内で数百件の検知事例が確認されている。

悪用の実態を示す数字

Hackread.com に共有された調査結果によると、攻撃者たちは有用なユーティリティを装っており、その中には Polymarket/ByBit/Axiom といったプラットフォーム向けツールや、各種分散型取引所 (DEX) 関連ツールも含まれるという。

また、Solana/Base/Ethereum などの Layer 2 (L2) ネットワーク向けのウォレット・アシスタントやガス料金トラッカーなども展開されている。主な標的は暗号資産ユーザーであり、悪意の “skill” 全体の約 54% が暗号資産関連となっている。その内訳は、以下のとおりである。

  • Wallet trackers: 14%
  • Polymarket tools: 9.9%
  • Solana helpers: 9.3%
  • Phantom wallet tools: 8.2%

その一方で、YouTube/LinkedIn/Reddit/X 向けの、ソーシャル・メディア自動化ツールが脅威の 24% を占め、偽の自動アップデータは 17% に達している。さらに、Google Workspace の生産性ツールを装うものも確認されており、オフィス環境が標的となっている。

Auto-Updaters Skill (Source: Bitdefender)
Skill から秘密鍵の窃取へ

sakaen736jih と名乗るユーザーが、199 件の悪意のスクリプトに関連していることも判明した。一部の “skill” は “.mykey” 拡張子を持つファイルを探索し、ウォレットの秘密鍵を窃取していた。Mac 環境では AMOS Stealer が配布されており、それにより、認証情報/ブラウザデータ/暗号資産関連の情報が収集されてしまうと、研究者たちは指摘している。

Bitdefender が安全対策として推奨するのは、”skill” を単なるプラグインとして捉えるのではなく、完全なソフトウェアのインストールと同様に扱うべきという考え方である。さらに同社は、無料のツール Bitdefender AI Skills Checker を提供している。このツールにより、インストール前に AI “skill” の安全性を迅速に評価できるとしている。

GitHub で爆発的な人気を博している AI ツール OpenClaw (旧名:Clawdbot/Moltbot) の、”skill” (アドオン) という仕組みが、攻撃者にとって格好の感染経路になっているようです。OpenClawは、ユーザーの PC 上で自律的に動作し、ブラウザ操作/ファイル管理/仮想通貨の取引などを代行する強力な AI ツールです。しかし、その機能を実現するために導入する “skill” の実態は、実行権限を持つ JavaScript/TypeScript などに過ぎません。

そして Bitdefender Labs の調査で判明したのは、これらの “skill” の約 17% が悪意のものであり、便利そうなツールを装いながら秘密鍵を盗んだり、外部サーバと通信して PC を乗っ取っていたことです。大きな注目が集まる場所には、詐欺師も必ず近づいてきます。ご利用のチームは、ご注意ください。最近の新たなトレンドとしては、2026/02/01 の「Moltbook AI に深刻な脆弱性:メールアドレス/ログイントークン/API キーなどの情報が露出」 もあります。よろしければ、ご参照ください。