Bitgetは今週、セキュリティチームがClawHub(AIアシスタントOpenClawのコミュニティリポジトリ)に悪意のあるプラグインを発見したことを受けて、ユーザーに警告を発しました。同取引所は、これらのエントリーが役立つ「スキル」と偽装されていましたが、いくつかのケースでは、端末コマンドを貼り付けたり、マルウェアを静かにインストールするユーティリティをダウンロードさせたりして、アカウントの認証情報、APIキー、ウォレットデータを盗む仕組みになっていたと述べています。
仕組みはシンプルで効果的です。スキルはユーザーに短い設定手順を案内し、1つの難読化されたコマンドを実行させるよう促します。そのコマンドはリモートスクリプトを取得して実行し、その後、ブラウザセッションや保存されたキー、その他の秘密情報を機械内から探し出します。報告されたケースの中には、悪意のあるスキルがClawHubのトップページに一時的に表示され、技術的知識のないユーザーがリスクを認識せずに指示に従う可能性が高まった例もあります。
マーケットプレイスをスキャンしているセキュリティチームによると、その規模は深刻です。何千ものスキルの監査で、300件を超える悪意のある挙動を示すエントリーが見つかり、多くはAtomic Stealerや関連トロイの亜種などの情報窃取ペイロードを配信していました。これらの調査結果は、今回の事件を単なる偶発的な不正アップロードの一部ではなく、協調されたサプライチェーンの汚染キャンペーンと位置付けています。
利便性から危険へ
分析者は、攻撃者がソーシャルエンジニアリングに大きく依存していると指摘します。暗号取引の補助やウォレットユーティリティを装ったスキルを公開し、ユーザーにルーチンの設定手順を実行させるよう仕向けているのです。いくつかの事例では、アップロードされたスキルが正規のツールを模倣し、ユーザーを騙すことでマルウェアの拡散を助長していました。
問題の一因はプラットフォームの権限にあります。OpenClawはローカルで動作し、正当にシェルコマンドを実行したり、ファイルを読み取ったり、ネットワークとやり取りしたりできます。この能力は便利な自動化を可能にしますが、一方で悪意のあるスキルにとっては敏感なデータに直接アクセスできる危険も伴います。OpenClawプロジェクトや複数のセキュリティベンダーは、VirusTotalによるスキャンや疑わしいバンドルのブロックなど、自動化された監査を導入し始めていますが、研究者たちは自動チェックだけでなく、より厳格な人間によるレビューや公開ルールの強化、エンドユーザーへの明確な警告も必要だと指摘しています。
トレーダーや取引所にとっては、即効性のある実践的なメッセージです。Bitgetは顧客に対し、サードパーティのツールやプラグイン、ボットを使って取引アカウントに接続するのをやめ、入金・出金・取引には公式アプリやウェブサイトのみを利用するよう呼びかけました。また、プラグイン用にAPIキーを認証している場合は、それらを取り消し、パスワードを変更し、二要素認証を有効にしてアカウントの侵害リスクを低減するよう促しています。
この事件は、利便性と攻撃対象範囲がしばしば共に拡大することを思い起こさせるものです。エージェント型AIは面倒な作業を自動化し、生産性を向上させることができますが、未審査のコードを許容するコミュニティエコシステムは攻撃者にとって魅力的な攻撃経路となります。マーケットプレイスがより厳格な審査を採用し、プラットフォームがより堅牢な安全策を構築するまでは、ユーザーはサードパーティのスキルを信頼できないコードとみなし、見慣れない端末コマンドの実行を避け、APIキーを定期的に回転させ、ウォレット操作を安全なデバイスに限定する習慣を続けることが最良の短期防御策です。
