クリプト・スウォームへ変貌させる ClawHub の 30 の隠されたスキル
Manifold Security の研究員が、ClawHub 上の正規スキルを悪用してユーザーの同意なく AI エージェントを暗号資産マイニングスイームに組み込む「ClawSwarm」と呼ばれる新たな脅威を検出しました。
キーポイント
マルウェア不使用の新型攻撃手法
従来の悪意あるコード配布とは異なり、マルウェアや脆弱性を悪用せず、公開された正規スキル(Cron Helper やセキュリティツールなど)を装ってエージェント自体を標的とする。
SKILL.md ファイルの悪用
AI エージェントに指示を与える SKILL.md ファイル内の命令に従い、エージェントが自動的に外部サーバーへ登録し、自身の機能やインストール済みスキルを報告する。
秘密裏な暗号資産生成と管理
エージェントはユーザーの承認なしにディスクに認証情報を保存し、4 時間ごとにチェックインして Hedera のウォレットを生成・登録し、マイニングスイームの一部となる。
オープンソースフレームワークとしての側面
攻撃者は「ClawSwarm」という名前のオープンソースプロジェクトを公開しており、その実装が特定のドメイン(onlyflies.buzz)を通じて機能していることが判明した。
セキュリティ問題の再定義
Sharma氏は、エージェントが承認なくネットワークに参加しウォレットを生成する行為は技術的なセキュリティ欠陥ではなく、ポリシーやランタイム可視化の問題であると指摘している。
スキャンツールによる検出の限界
既存のスキャナーでは悪意あるコードパターンが見つからないため、クリーンなcURL呼び出しや正規のSDKを使用するこの脅威を検知することが困難である。
重要な引用
Thirty ClawHub skills published by a single author are silently co-opting AI agents and creating a mass cryptocurrency mining swarm – without any malware or user consent.
ClawSwarm isn't a vulnerability disclosure... It's an open source project on GitHub with public docs, a Telegram group, and a token on a public chain.
The mechanism is identical regardless of intent: an AI agent silently registering with a third party server, reporting its capabilities, generating crypto keys, and accepting remote tasks – all without the user initiating or approving any of it.
Whether ClawSwarm instances are a legitimate experiment in agent economics or a recruitment funnel for speculative crypto, the result for the user is the same: their agent is doing things they didn't ask it to do.
The registry layer is the wrong place to solve this... What's needed is runtime visibility into what agents actually do once a skill is installed.
影響分析・編集コメントを表示
影響分析
このニュースは、AI エージェントが自律的に行動する環境において、セキュリティモデルの根本的な見直しが必要であることを示唆しています。特に、信頼されたリソースや設定ファイルさえも悪用される可能性がある点は、開発者および運用担当者に重大な警戒を促すものです。今後は、エージェントの外部通信や機密情報の生成・保存に対する厳格な監査と制御が不可欠となります。
編集コメント
マルウェアを使わない攻撃は検知が難しく、AI エージェントの自律性を悪用した新たな脅威として注視すべき事例です。開発者は公開スキルの実行前にもう一度セキュリティチェックを行う必要があります。
一人の著者によって公開された30のClawHubスキルが、マルウェアもユーザーの同意もなく、AI エージェントを静かに乗っ取り、大規模な暗号通貨マイニングスイームを形成しています。
Agentic AI 専門セキュリティ企業Manifoldの研究責任者であるAx Sharma氏は、OpenClawスキルのレジストリおよびマーケットプレイスであるClawHub上でこれらのスキルを発見しました。
「imaflytok」という名前のClawHubユーザーが公開したこのスキルは、約9,800回のダウンロード数を記録しています。Sharma氏は『The Register』に対し、彼が「ClawSwarm」と呼ぶこのキャンペーンは、過去の悪意のあるClawHubコードの配布試みとは異なり、マルウェアを使用せず、人間を標的としない点で特徴的だと語りました。
代わりに、ClawSwarmはエージェント自体およびSKILL.mdファイルを標的にします。SKILL.mdファイルは、他のシステムとの相互作用方法をエージェントに指示する文書です。
「ClawSwarmは脆弱性の開示ではありません」とSharma氏は述べました。「修正すべき欠陥はなく、インフラストラクチャにも隠された要素はありません。これはGitHub上のオープンソースプロジェクトであり、公開ドキュメント、Telegramグループ、パブリックチェーン上のトークンを備えています。」
このキャンペーンでは、ユーザーが表面上は無害なスキルをインストールします。これらは、cronヘルパー(903ダウンロード)、エージェントセキュリティスキル(685ダウンロード)、鯨(大規模保有者)ウォッチャー(347ダウンロード)、クロスプラットフォーム投稿ツール(292ダウンロード)、予測市場統合(154ダウンロード)など、あらゆる種類の機能と称しています。
AI エージェントはその後、「$FLY トークンと挑発的なアートに焦点を当てたサイト」である「onlyflies.buzz」に登録します。
外部サーバーへの登録が完了すると、エージェントは SKILL.md ファイル内の指示に従い、自身の名前や機能、インストールされているスキルを第三者に報告します。
エージェントはディスク上に認証情報を保存し、4 時間ごとにチェックインを行います。適切なスキルがインストールされていれば、Hedera の暗号化ウォレットを生成し、その秘密鍵を同じサーバーに登録します。人間ユーザーはこの活動の承認を行っておらず、発生している様子も見ていません。
シャーマ氏が文書化した暗号化スワームキャンペーンの名前であるだけでなく、ClawSwarm は GitHub 上で公開されているオープンソースのエージェント型スキルフレームワークでもあります。imaflytok のスキルが onlyflies.buzz で開かれるのは、そのフレームワークの一例です。
「これらすべてを読み、『これは小規模な暗号化コミュニティ構築エージェントインフラだ』と結論付けることもできるかもしれません。そうなのかもしれませんが、意図に関わらずメカニズムは同一です:第三者サーバーに静かに登録し、機能を報告し、暗号鍵を生成し、遠隔タスクを受け入れる AI エージェントが、ユーザーの開始や承認なしにこれらすべてを実行することです」
- OpenClaw が単純なクラック後に詳細な個人情報を露呈
- CEO が大規模トークンファームキャンペーンについて本音を語る
- Anthropic が OpenClaw のサブスクリプション利用を拒否
- DIY AI ボットファームである OpenClaw はセキュリティ上の『ゴミ捨て場』
これは、以前行われた Tea Protocol トークンファームキャンペーン と同様で、その際には 150,000 パッケージ以上ものスパムパッケージが npm レジストリに溢れ、Tea ポイントをファームする目的で使用されました。
シャーマ氏によると、ClawSwarm は「同じプレイブックに従う」ものの、npm パッケージの代わりにスキルを使用します。「ClawSwarm のインスタンスがエージェント経済における正当な実験なのか、投機的な暗号資産のための採用経路に過ぎないのかに関わらず、ユーザーにとっての結果は同じです。つまり、ユーザーが依頼していないことを、知らない誰かのために、ユーザーが承認していない鍵を使って実行しているのです」と彼は記述しています。
ClawHub のメンテナーたちは、*The Register* からの問い合わせに対して即座には回答しておらず、正当な ClawSwarm オープンソースフレームワークの側も同様に回答していませんでした。
シャーマ氏は、エージェントが人間のユーザーの承認なしにネットワークに参加しウォレットを生成しているにもかかわらず、これは実際にはセキュリティの問題ではないため、メンテナーたちは難しい立場にあると述べています。
「この問題を解決するには、レジストリ層は不適切です」と彼は『ザ・レジスター』に語った。「悪意のあるコードパターンを検索するスキャナでは何も検出されません。cURL コールはクリーンで、SDK も正当なものです。必要なのは、スキルがインストールされた後にエージェントが実際に何を行うかについてのランタイム可視性です。レジストリ側で、スキルマニフェスト内にネットワークエンドポイントやウォレット生成の開示を義務付けることは可能ですが、それはセキュリティの問題ではなくポリシーの問題です。」 ®
原文を表示
Thirty ClawHub skills published by a single author are silently co-opting AI agents and creating a mass cryptocurrency mining swarm – without any malware or user consent.
Agentic AI security outfit Manifold's research lead Ax Sharma spotted the skills on ClawHub, a registry and marketplace for OpenClaw skills.
A ClawHub user who goes by "imaflytok" published the skills, which have scored around 9,800 downloads. Sharma told *The Register* that this campaign – he calls it “ClawSwarm” – differs from past efforts to distribute malicious ClawHub code because it doesn’t use malware or target humans.
Instead, ClawSwarm targets the agents themselves and SKILL.md files, documents that give agents instructions on how to interact with other systems.
"ClawSwarm isn't a vulnerability disclosure," Sharma told us. "There's no flaw to patch and nothing covert about the infrastructure. It's an open source project on GitHub with public docs, a Telegram group, and a token on a public chain."
The campaign sees a user install a seemingly benign skill – these purport to be everything from a cron helper (903 downloads) to an Agent Security skill (685 downloads), a whale watcher (347 downloads), a cross-platform poster (292 downloads), and a predictions market integration (154 downloads).
The AI agent then registers itself at "onlyflies.buzz," a site that centers around $FLY tokens and "provocative" art.
After registering itself with the external server, the agent follows the instructions in a SKILL.md file and therefore reports its name and capabilities to the third-party, along with what skills it has installed.
The agent stores credentials on disk, checks in every four hours, and assuming the right skills are installed, it generates a Hedera crypto wallet and registers the private key with the same server. The human user doesn't approve any of this activity and doesn’t see it happening.
In addition to being the name of the crypto-swarm campaign Sharma documented, ClawSwarm is also an open source agentic skill framework on GitHub. The imaflytok's skills open at onlyflies.buzz are one such implementation of that framework.
"You can read all of this and conclude it's a small crypto community building agent infrastructure. Maybe it is," Sharma wrote. "But the mechanism is identical regardless of intent: an AI agent silently registering with a third party server, reporting its capabilities, generating crypto keys, and accepting remote tasks – all without the user initiating or approving any of it."
- OpenClaw reveals meaty personal information after simple cracks
- CEO spills the Tea about massive token farming campaigns
- Anthropic closes door on subscription use of OpenClaw
- DIY AI bot farm OpenClaw is a security 'dumpster fire'
It's similar to the earlier Tea Protocol token farming campaigns, in which more than 150,000 spammy packages flooded the npm registry to farm Tea points.
ClawSwarm, according to Sharma, "follows the same playbook," but uses skills instead of npm packages. "Whether ClawSwarm instances are a legitimate experiment in agent economics or a recruitment funnel for speculative crypto, the result for the user is the same: their agent is doing things they didn't ask it to do, for someone they don't know, with keys they didn't authorize," he wrote.
ClawHub maintainers did not immediately respond to *The Register*'s inquiries, nor did the legitimate ClawSwarm open source framework.
Sharma says maintainers are in a tough position because it's not really a security problem, despite agents joining a network and generating wallets without their human user's approval.
"The registry layer is the wrong place to solve this," he told *The Register*. "A scanner looking for malicious code patterns finds nothing: the cURL calls are clean, the SDK is legitimate. What's needed is runtime visibility into what agents actually do once a skill is installed. Registries could require disclosure of network endpoints and wallet generation in skill manifests, but that's a policy question, not a security one." ®
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み