Slowmist: ClawHub Has Backdoor Implantation Risk, 21% of Top 100 Skills Listed as High-Risk

慢霧科技の最高情報セキュリティ責任者23pdsが公開した警告によると、ClawHubはGitHubのワンクリック認証に依存しているため、蠕虫ウイルスによって盗まれた開発者の認証情報が悪用され、開発者になりすまして悪意のあるSkillsを公開し、サプライチェーン攻撃を引き起こす可能性がある。これと並行して、GoPlusはClawHubから最もダウンロードされた100のSkillsについて完全なセキュリティスキャンを実施し、その結果、21％が高リスク、17％が警告対象であることを示した。

攻撃経路の全解明：GitHubの認証情報からシステム侵入までの完全な連鎖

慢霧は公式発表の中で、この潜在的攻撃の全経路を明確に示し、開発者やユーザーが脅威の実態を理解できるようにしている。

認証情報の窃取：Sha1-Huludなどの蠕虫ウイルスやフィッシング攻撃によって、開発者のGitHubログイン認証情報を盗む。

GitHub権限の取得：攻撃者は盗んだ認証情報を使って被害者のGitHubアカウントにログインする。

開発者になりすましてClawHubにログイン：ClawHubはGitHubのワンクリック認証を採用しているため、攻撃者は正規の開発者としてプラットフォームに直接アクセスできる。

悪意のあるSkillsの公開：被害を受けた開発者の名義で、バックドアを含む悪意のあるSkillsをアップロードし、正常なSkillsと区別しにくくなる。

ユーザーによるインストールと実行：無知なユーザーがこれらのSkillsをダウンロードし、実行することで、悪意のあるコードが作動。

システム侵入：攻撃者はユーザーのデバイスへのアクセス権を獲得し、データの窃取やリモートコントロールなど深刻な結果を招く可能性がある。

この攻撃連鎖の危険性は、各段階が高度に隠蔽されている点にあり、ユーザーは外見からSkillsが悪意により改ざんされているかどうかをほとんど判断できない。

GoPlusのスキャン結果：上位100Skillsの安全性分布

3月12日、GoPlusはClawHubから頻繁にダウンロードされる上位100Skillsに対するセキュリティスキャンの報告を公開し、より体系的なリスク評価データを提供した。

21％がブロック（Blocked）：これらのSkillsは明確に高リスクな操作を含み、直接的なネットワーク侵入、敏感APIの呼び出し、自動メッセージ送信などが含まれる。

17％が警告（Warning）：一定の潜在リスクを持ち、安全性に高い要求を持つユーザーには慎重な実行を推奨。

62％が審査通過（Passed）：残りのSkillsは現段階のスキャン範囲内で明らかな問題は見つからなかった。

GoPlusは、高リスク操作を伴うSkillsについては、「Human-in-the-Loop（HITL）」の人工確認メカニズムを強制導入し、重要な操作の前に人の審査を介入させることを提案している。

Tencent SkillHubの論争：大規模スクレイピングによる著作権と支援問題

セキュリティ警告の高まりとともに、ClawHubのエコシステムはTencentの行動により別の議論を呼び起こしている。TencentはOpenClawの公式オープンソースエコシステムを基盤としたSkillHubコミュニティを立ち上げ、中国の開発者向けのローカルSkills配信プラットフォームとして位置付けている。しかし、OpenClawの創始者Peter Steinbergerはこの動きに対して批判を表明し、TencentがClawHub上のすべてのSkillsをスクレイピングし、自社プラットフォームに導入したとし、その速度が速すぎて公式のレートリミットを超えたと指摘した。Steinbergerは率直に言う、「彼らはコピーしたが、このプロジェクトを支援していない。」

TencentのAI公式はこれに対し、SkillHubはミラーサイトとして運営されており、プラットフォーム上に原始的な出典としてClawHubを明記していると説明し、目的は中国ユーザーにより安定した高速アクセス体験を提供することだと述べた。サービス開始の最初の週には約180GBのダウンロードトラフィック（87万回のダウンロード）を処理したが、実際に公式ソースから取得したデータは約1GBに過ぎず、Tencentの複数のチームメンバーが関連オープンソースプロジェクトにコードを寄稿しており、エコシステムの継続的な支援を望んでいる。

よくある質問

Q1：ClawHubのユーザーはどのようにして悪意のあるSkillsから身を守るべきか？
推奨される対策は、GoPlusなどのセキュリティ機関による審査済みのSkillsを優先的にインストールすること。ローカルファイルシステム、ネットワーク接続、システムAPIへのアクセスを要求するSkillsには注意を払い、ダウンロード数や評価も参考にするが、安全性の唯一の指標としないこと。定期的にSkillsを更新し、プラットフォームのセキュリティアナウンスに注意を払うこと。最も重要なのは、高リスク操作を行う前に「人工確認（HITL）」機能を有効にすること。

Q2：ClawHubはGitHub認証に依存すべきか、それ以外の認証方法に変更すべきか？
セキュリティの観点から、単一のOAuth提供者（例：GitHub）に依存することはシングルポイント故障のリスクを伴う。GitHubの認証情報が漏洩した場合、ClawHubのアカウントも危険にさらされる。より安全な方法として、多要素認証（MFA）の導入、独立したアカウントの作成許可、またはSkills公開操作に対して追加の人間または機械による検証層を設けることが考えられる。これらはプラットフォーム側が開発者の信頼性を高めるために継続的に改善すべき点である。

Q3：TencentのSkillHubのやり方はオープンソースライセンスに違反しているのか？
これはOpenClawとClawHubの具体的なライセンス条項次第である。SkillHubはミラーサイトの運営と原始出典の明記を合理的な範囲内の利用とみなしているが、Steinbergerの批判はむしろエコシステム支援の道義的側面に向いている。すなわち、コミュニティの成果を利用しながらも、オープンソースプロジェクトへの実質的な貢献や商業的支援が欠如している点だ。この種の論争はオープンソースコミュニティでは一般的であり、より明確なライセンス条項や商業協力契約によって解決される必要がある。