最近の研究では、OpenClawプラットフォーム上の第三者「スキル」が侵害され、既存の安全策を回避してホストシステム上で任意のコマンドを実行できることを実証しました。これらの結果は、AIエージェントマーケットプレイスが外部コードを審査・展開する方法の構造的な弱点を浮き彫りにしています。
この研究は、Clawhubによる審査プロセスに焦点を当てており、静的コード解析、VirusTotalによるチェック、AIベースのモデレーションツールを含んでいます。
ホットストーリー
富裕層の父さん貧乏父さん 著者:ビットコインが75万ドルに到達
暗号市場レビュー:XRPは1.70ドルに向けて走り出す準備完了、イーサリアム(ETH)は強気モードに入り、シバイヌ(SHIB)はついに強気市場に入ったのか?
CertiKによると、これらの仕組みは比較的簡単なコード修正によって回避可能です。ロジックをわずかに変更したり、脆弱性を再構築したりすることで、悪意のあるスキルはインストール時には無害に見えながらも、展開後に有害な行動を実行する能力を保持できます。
これにより、ユーザーは誤った安心感を抱くことになり、マーケットプレイスの審査による承認がスキルの安全性を保証するものではないことを示しています。
この概念実証攻撃は、AIエージェントエコシステムに影響を与えるより広範な問題を浮き彫りにしています。それは、実行時の保護よりも事前の審査に大きく依存したセキュリティモデルです。
サンドボックス化、厳格な権限管理、実行時の隔離といった安全策がなければ、プラットフォームは複雑で進化する脅威に対応できるように設計された検知システムに過度に責任を負わせてしまいます。
この調査結果は、AIエージェントマーケットプレイスの拡大に伴い、悪意のあるまたは侵害されたスキルが本番環境に入り込むリスクが高まることを示しています。
CertiKの研究者は、業界は検知よりも実行時の封じ込めを優先したAIエージェントのセキュリティアプローチに見直す必要があると主張しています。
すべての悪意のあるコードを展開前に特定できると仮定するのではなく、プラットフォームは一部の脅威が審査を回避することを前提に設計すべきです。このモデルでは、すべての侵害を防ぐことから、1つの侵害による潜在的な被害を最小限に抑えることに焦点が移ります。
これは、「完璧な検知」志向から、被害の封じ込めとシステムの耐性を重視する方向へのより広範な移行を示しています。
これらのリスクに対処するために、CertiKはAIエージェントプラットフォームを構築する開発者向けにいくつかの対策を提案しています。
サンドボックス化は、サードパーティのスキルのデフォルトの実行モデルとなるべきであり、外部コードがホストシステムと直接やり取りするのではなく、隔離された環境で動作するようにします。
さらに、プラットフォームは細かい権限管理フレームワークを導入すべきです。各スキルは必要なリソースを明示的に宣言し、実行時にその権限を強制します。このアプローチにより、侵害または悪意のあるコンポーネントの潜在的な影響を制限できます。
研究者はまた、サードパーティのスキルがホストシステムから広範な暗黙の信頼を継承すべきではないと強調しており、これが悪用のリスクを大きく高めるためです。
ユーザーにとって、この報告は重要な制限を示しています。マーケットプレイス内の「安全」ラベルは、真のセキュリティを保証するものではありません。これは単に、既存の審査パイプラインが脅威を検出しなかったことを示すに過ぎません。
より強力な実行時保護が広く採用されるまで、OpenClawのようなプラットフォームは、機密データや資格情報、高価値資産を扱わない低リスク環境に適している可能性があります。
より広く言えば、この研究はAIエコシステム全体の構造的な問題を指摘しています。審査プロセスは明らかな脅威を特定するのに役立ちますが、特権を持つサードパーティコードを実行するシステムの主要な防御手段にはなり得ません。
CertiKは、意味のあるセキュリティ向上には、AIエージェントプラットフォームの設計方法の根本的な見直しが必要だと結論付けています。
より複雑な検知システムに頼るのではなく、開発者は失敗を前提とした環境を構築し、侵害が発生した場合にそれを封じ込める仕組みを整える必要があります。これには、より強力な隔離技術の採用、厳格な権限の実施、実行時のセキュリティを主要な保護層とすることが含まれます。
AI駆動型アプリケーションの複雑さと普及が進むにつれ、リスクを実行時に封じ込める能力が次世代のデジタルエコシステムのセキュリティを左右する重要な要素となるでしょう。
