OpenClaw Partners with VirusTotal to Secure AI Agent Skill Marketplace
2026/02/07 CyberSecurityNews — 2月7日に OpenClaw は、Google 傘下の VirusTotal との提携を発表し、AI エージェント・マーケットプレイスである ClawHub に公開されるすべての “skill” に対して、自動セキュリティ・スキャンを実装することを明らかにした。この統合は、新興の AI エージェント・エコシステムにおける、初の包括的なセキュリティ施策となる。
ClawHub に公開されるすべての “skill” は、VirusTotal の脅威インテリジェンス・データベースおよび Code Insight 機能 (LLM ベースのセキュリティ分析ツール) を用いて自動的にスキャンされる。悪意があると判定された “skill” は即座にダウンロードがブロックされ、疑わしいコンテンツには警告ラベルが付与される。
この提携は、AI エージェント特有の根本的なセキュリティ問題に対応するものだ。従来のソフトウェアが事前に定義されたコードパスを実行するのに対し、AI エージェントは自然言語を解釈し、自律的に行動を決定する。この特性により、言語そのものを悪用する攻撃者が、エージェントの挙動を操作するという新たな攻撃面が生じている。
OpenClaw チームは発表の中で、「すでに、AI エージェント・プラットフォームを悪用しようとする、脅威アクターによる侵害事例が確認されている。問題が、さらに拡大するのを待つつもりはない」と述べている。
自動スキャンにおける処理フローの手順
- 決定論的パッケージ化:skill ファイルは、一貫した圧縮方式とタイムスタンプを用いた ZIP にまとめられ、発行者情報とバージョン履歴を含む _meta.json が付与される。それにより、解析に対応できる標準化されたパッケージを生成する。
- ハッシュ計算:バンドル全体に対して SHA-256 ハッシュを計算する。それにより、それぞれの “skill” における一意のフィンガープリントを生成する。
- VirusTotal 参照:ハッシュを VirusTotal の脅威インテリジェンス・データベースと照合する。それにより、既存ファイルで Code Insight の判定が存在する場合には、即座に結果を取得する。
- アップロードおよび解析:未登録または AI 解析結果が存在しない場合には、v3 API を通じてバンドルを VirusTotal にアップロードする。それにより、新規または更新された “skill” に対するスキャンを開始する。
- Code Insight 解析:VirusTotal の LLM (Gemini ベース) が、”skill” パッケージ全体を対象にセキュリティ重視の解析を実施し、実際のコード挙動を検査する。それにより、外部コードのダウンロード/機微データへのアクセス/ネットワーク操作/強制的指示の有無を特定する。
- 自動承認/フラグ付与:判定結果に基づき処理される。
・Benign → 自動承認
・Suspicious → 警告ラベル付与
・Malicious → 即時ブロック
それぞれの “skill” はリスクレベル別に分類され、適切なアクセス制御が適用される。 - 日次再スキャン:すべての有効な “skill” は 24 時間ごとに再スキャンされる。それにより、過去に問題がなかった “skill” が後に悪性化するケースを検出する。
- 結果表示:スキャン状況および VirusTotal レポートへのリンクが、”skill” のページおよびバージョン履歴に表示される。それにより、利用者および発行者に対する透明性を確保する。
エージェントの機能を拡張する “skill” は、ユーザーのツールやデータへのアクセス権を持つため、重大なリスクを内包する。侵害された “skill” は、機微情報の流出/不正コマンドの実行/外部ペイロードのダウンロードを引き起こし得る。
開発者が ClawHub に “skill” を公開すると、このプラットフォームは自動的にコードを決定論的パッケージとしてバンドルし、SHA-256 ハッシュを算出する。このフィンガープリントは、VirusTotal のデータベースで既存の脅威情報と照合される。
解析結果が存在しない場合には、バンドル全体がスキャン用にアップロードされる。Gemini を基盤とする VirusTotal Code Insight は、シグネチャ照合のみに依存せず、コードが実際に何を行うかを解析する。
この仕組みにより、”skill” による外部コードの取得/機微データへのアクセス/ネットワーク操作の実行/危険なエージェント挙動の誘発などの指示が検出される。Benign 判定は自動承認され、問題のある “skill” がブロックされ、警告が表示される。すべての “skill” は日次で再スキャンされる。
このアプローチは、”skill” バンドル全体をアップロードして、包括的な挙動解析を行うところに特徴があり、ハッシュ照合のみを用いる Hugging Face の VirusTotal 連携を超えるものになる。
VirusTotal との提携は、OpenClaw における包括的セキュリティ・プログラムの開始と同時に発表された。同社は、AI エージェント・エコシステムに関する正式な脅威モデル/公開セキュリティ・ロードマップ/コードベース全体の監査結果/SLA を定義した脆弱性報告プロセスを公開する予定である。
OpenClaw が主任セキュリティ・アドバイザーとして迎えたのは、Dvuln 創設者であり CREST Advisory Council メンバーでもある Jamieson O’Reilly だ。また、セキュリティ・プログラムの文書は “trust.openclaw.ai” で公開されている。
OpenClaw チームが強調するのは、自動スキャンは完全な解決策ではなく、多層防御の一要素に過ぎないという点だ。巧妙に設計されたプロンプト・インジェクションや自然言語操作には、シグネチャベース検知を回避する可能性がある。
今回の発表では、「セキュリティは多層防御であるべきだ。しかし、これは一層に過ぎない。今後、さらなる層を追加していく」と述べられている。
“skill” 発行者にとって、スキャンは公開時に自動実行されるものとなる。開発者は、”skill” 詳細ページからスキャン結果および VirusTotal レポートを確認できる。初期段階では誤検知が発生する可能性があるため、レビュー要請用に security@openclaw.ai が設けられている。
ClawHub を利用するユーザーは、各 “skill” のスキャン状況を確認できるが、クリーン判定が安全性を保証するものではない。OpenClaw が推奨する報告内容は、権限内容の確認/信頼できる発行者の優先順位/挙動の不審点である。
今回の提携により、OpenClaw は包括的な自動セキュリティスキャンを実装する、初の AI エージェント・プラットフォームになる。この新たなコンピューティング・パラダイムを保護する方式という、業界全体の課題に対して、一つの前例を示した。
AI エージェント用フレームワーク OpenClaw と、Google 傘下の VirusTotal による提携について解説する記事です。今回の対策が必要となった背景にあるのは、AI エージェントの機能を拡張する “skill” を悪用した、新たなタイプのサプライチェーン攻撃です。従来のソフトとは異なり、AI エージェントは自然言語で命令を解釈し、自律的にシステムを操作するため、無害に見えるコードの中に、巧妙なプロンプトを隠すことが可能になります。それにより、ユーザーに検知されずに、機密データの窃取やマルウェア・ダウンロードが実行されるという事例が報告されています。よろしければ、2026/02/06 の「OpenClaw 上の 3rd-Party “skill” の 17% は悪意:暗号通貨や SNS を標的に機密データを収集」も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.