CertiKの研究者たちは、著名なブロックチェーンセキュリティ企業であるCertiKが、最新のAIエージェントネットワークにおいて重要なセキュリティの欠陥を最近発見したことを明らかにしました。そのため、CertiKのリード研究者である文冠星(Guanxing Wen)の新しいレポートは、安全性を確保するためにはスキルスキャンだけでは不十分であると警告しています。
私たちのセキュリティ研究者である文冠星(@hhj4ck)の素晴らしい仕事は、AIエージェントのセキュリティにおける重要なギャップを浮き彫りにしています。スキャンスキルや警告ポップアップだけでは不十分であり、適切な実行時の権限設定やサンドボックス化がなければ、見逃されたレビュー一つでホスト全体が危険にさらされる可能性があります。
— CertiK (@CertiK) 2026年3月16日
CertiKが公式プレスリリースで述べているように、正当なサードパーティの「スキル」は、OpenClawプラットフォーム上のモデレーションチェックを回避することが可能です。悪意のあるスキルは、さまざまなレビュー層を通過しても、ホストシステム上で任意のコマンドを実行できる能力を持っていました。
CertiKは、AIスキル検出とレビューシステムの不備を明らかにし、AIエージェント市場のセキュリティ向上を促しています。
CertiKの分析によると、OpenClawのAIエージェントマーケットプレイスであるClawhubは、変更不可能なコードスキャン、AI主導のモデレーション、VirusTotalチェックなどの多層的なレビュー工程に依存しています。これらの仕組みは悪意のある行動を特定することに焦点を当てていますが、研究者たちは、慎重に構築されたロジックや微細なコードの変更によって検出を容易に回避できることを発見しました。
いくつかのケースでは、インストール時には無害に見えるスキルが、通常のワークフロー内に隠された操作可能な脆弱性を含んでいることがあります。この研究は、静的検出手法の根本的な制限を強調しています。
従来のウェブアプリケーションファイアウォールやアンチウイルスソフトウェアのようなパターンベースの識別も、微細なコード構造の変化によって回避される可能性があります。さらに、AIによるモデレーションは不整合や意図の分析によって検出能力を高めますが、深く統合された脆弱性の発見には依然として不十分です。
ブロックチェーンセキュリティプラットフォームは、実行時のセキュリティと堅牢なスキル隔離を推奨しています。
CertiKによると、その概念実証は、保留中のセキュリティ監査の処理における欠陥も明らかにしています。具体的には、VirusTotalの結果が不完全な場合でも、スキルが公開インストール可能で利用可能になる可能性があると報告されています。
これを踏まえ、CertiKの研究は、ユーザーの警告やマーケットプレイスのレビューに頼るのではなく、検出能力の向上を促しています。そのため、堅牢な実行時保護がなければ、たとえ一つの脆弱性を見逃しても、ホスト環境全体が危険にさらされる可能性があります。
AIエコシステムの拡大に伴い、CertiKは、実行時ベースのセキュリティフレームワークの採用、サードパーティスキルの隔離強化、厳格な権限管理の導入を推進しています。したがって、包括的なセキュリティは、レビューを回避しようとする脅威を想定した仕組みの構築に依存し、これらの脅威を事前に封じ込めることが重要となります。
