先日、パーソナルAIエージェント「OpenClaw」の数千ものインスタンスがアクセス可能な状態で公開されているとお伝えしたが、今度は、「OpenClaw」をターゲットとした情報窃取型マルウェア(インフォスティーラー)が発見された。

セキュリティベンダーのHudson Rockが2月16日(米国時間)、情報窃取型マルウェアがOpenClawの設定環境を盗み出すことに成功した実感染を検出したと発表した。同社は、「OpenClaw に関連するファイルを盗み、その中に保存されているデータを抜き出すのインフォスティーラー実例を初めて記録した」と述べている。

  • 感染したマシンのディレクトリ構造。流出した OpenClaw ワークスペースと構成ファイルを示している 引用:Hudson Rock

    感染したマシンのディレクトリ構造。流出した OpenClaw ワークスペースと構成ファイルを示している 引用:Hudson Rock

マルウェアが窃取したデータ

このマルウェアが盗んだと見られるOpenClaw ファイルは次のとおりだ。

openclaw.json

被害者の編集された電子メール、ワークスペース パス、および高エントロピー ゲートウェイ認証トークンが公開された。これにより、ローカルのOpenClaw インスタンスへのリモート接続、認証されたリクエストでのクライアントの偽装が可能になる可能性があるという。

device.json

device.jsonには、ペアリングと署名に使用されるpublicKeyPemとprivateKeyPemの両方が含まれている。秘密鍵を用いることで、被害者のデバイスとしてメッセージに署名し、「安全なデバイス」チェックを回避し、デバイスとペアリングされた暗号化されたログやクラウドサービスにアクセスする可能性があるという。

soul.mdおよびメモリ ファイル (AGENTS.md、MEMORY.md)

エージェントの動作を定義し、毎日のアクティビティ ログ、プライベート メッセージ、カレンダー イベントなどの永続的なコンテキスト データを保存するファイル。

  • 認証プロファイルとローカルゲートウェイのトークンがわかる、盗まれたopenclaw.json のスナップショット 引用:Hudson Rock

    認証プロファイルとローカルゲートウェイのトークンがわかる、盗まれたopenclaw.json のスナップショット 引用:Hudson Rock

高まるAIエージェントのリスク

Hudson Rockの研究者は、OpenClawのデータを盗むことで、攻撃者はパスワードに加えて、被害者の公道、ローカルマシンへの暗号鍵セット、最先端のAIモデルへのセッショントークンも手に入れることができると指摘。

さらに、AIエージェントが実験的な玩具から日常の必需品へと進化するにつれ、マルウェア作成者が専用の「AIスティーラー」モジュールを開発する動機はますます高まっていると警鐘を鳴らしている。