ローカルで動作するAIエージェントとして話題のOpenClaw
openclaw.ai
ClaudeやOpenAIとかのAPIを使いつつ、コンピュータの操作を全て任せらることができる。なので、メールとかカレンダーの予定管理とか、人によってはソフトウェア開発を全てAIに任せて自分は遊んでいるなんてのも実現しているらしい。エンジニア界隈の評判は高く、人気はうなぎのぼり。
あと、誰かがMac miniが良いという話を広めたおかげでMac miniの在庫が不足しているとか何とか。
www.businessinsider.com
そんな便利情報満載なOpenClawだが、やはりコンピュータの操作を全て任せるというのはセキュリティ的懸念が大きすぎないか?セキュリティ界隈では懸念点も色々話題に挙がってきており。
利用者のセキュリティ意識がガバガバでインターネットに公開してるとか。
censys.com
1クリックでRCEになるとか。
depthfirst.com
そして、OpenClawは拡張機能でさらにパワーアップさせることができるということだが、この拡張機能の公開ページにはマルウェアも増加してきたと。
npm、PyPI、VS Code拡張機能、ブラウザ拡張機能でもあるようなことは、どこでもありえますな。
コミュニティベースの拡張機能ハブ「ClawHub」
OpenClaw用の拡張機能が公開されているClawHub。これはコミュニティベースで、運営側も全てを悪意あるものかどうか確認しきれていなさそう。
www.clawhub.com
このClawHubでKoiの研究者がマルウェアを見つけたようだが、もしかしてOpenClawのエージェントにClawHubの調査をさせたのでは?そんな感じの語り口。
ClawHavocと名付けられたマルウェア群には、仮想通貨ウォレットやブラウザ認証情報を狙うマルウェアやリバースシェルのペイロードが確認されたようだ。
個人的に気になったのは、「インストールに必要です!」とこんな感じのコマンドをmacOSユーザに実行させるClickfix的?手法。
これ似たようなのどっかで見たなぁと思ったら、これ。
www.sdsg.moe
これもmacOS狙いだった。今回もAMOS Stealerが配信されているものもあったようだし、生成AI界隈専門で活動する脅威アクターが存在するのかもしれない。
あと、OpenClawに限って言えばMac miniが爆売れしているのでmacOSを主なターゲットするのは正解ですな。
KoiがClawHub用のセキュリティスキャナーを用意したようなので、気になれば随時使った方が良さそう。
clawdex.koi.security
AIエージェントの致命的な三重奏が四重奏に
今回の調査中に初めて知ったが、昨年にAIエージェントの致命的な三重奏というのが話題になったようだ。
simonwillison.net
AIエージェントは、
・プライベートなデータへのアクセス
・信頼できないコンテンツの使用
・外部との通信機能
という3つの特徴を持っている。
これらは様々なリスクに繋がる。
LLMは、まるで自分だけの指示に従っているように見えて、内部的にはLLMサービス運営が指定したシステムプロンプト、LLM自身が元々持っているデータや外部から拾ってきたデータに記載された指示など、複合的に複雑に絡み合った結果を出力している。処理の際に個人のデータを扱うなら、自分の知らない内に外部の変なところに送信している可能性だってある。
www.sdsg.moe
OpenClawでは、ローカルに持つ永続的な記憶(記録用のファイル)によってエージェントとのやり取りを円滑に行える。この永続的な記憶(persistent memory)が、AIエージェントの第4のリスク要素となるとPalo Alto Networksは分析している。
www.paloaltonetworks.com
便利ではあるがいつでも使えるとは言いたくない
OpenClawにコンピュータの操作を全て任せるのは面白そうだ。
TelegramやDiscordで指示を出せば、様々な仕事をAIが全てやってくれる。適切な指示を出せれば、勝手にお金を稼ぐ仕組みだって簡単に作れるようになってきた。
しかし、AIエージェントの行動を全て信じて良いか?
自分はマルウェア解析的なツールをAIに自動で作らせようとしたら、ツールの動作テストのためにどこから拾ってきたか分からんプログラムをAIが勝手にバンバン実行してWindows Defenderとかが反応しまくって危険な状況になった経験がある。(それはVMだったが)
便利で、使えるときは使った方が良いが、やはり使い時は考えようですよ。
