ケールガード:OpenClawスキル用のオープンソースセキュリティスキャナー

✍️ OpenClawRadar📅 公開日: March 1, 2026🔗 Source
ケールガード:OpenClawスキル用のオープンソースセキュリティスキャナー
Ad

Caelguardは、OpenClawエコシステム専用に設計されたオープンソースのセキュリティスキャナーで、ネットワーク通信なしでローカルで実行されます。ClawHubで公開されているスキルのセキュリティ脆弱性を自動的にチェックします。

OpenClaw研究からのセキュリティ発見

この研究により、ClawHubでスキルを公開するためのハードルは非常に低いことが明らかになりました:必要なのはSKILLマークダウンファイルと1週間以上経過したGitHubアカウントのみで、コード署名やレビュープロセスはありません。スキルは、シェルアクセス、ファイルシステムの読み書き、認証情報へのアクセスを含むエージェントの完全な権限を継承します。

分析の結果、公開されているスキルの約5分の1(20%)に懸念すべきセキュリティ問題が含まれていることが判明しました:

  • プロンプトインジェクション
  • 認証情報の収集
  • 難読化されたペイロード
  • データ流出パターン

特に注意すべき具体的なパターン

このスキャナーは、インストールされたスキル内の以下の特定の侵害指標をチェックします:

  • マークダウンファイル内のBase64ブロブ(一般的な難読化手法)
  • SKILLマークダウン内のゼロ幅文字またはUnicodeタグ範囲(U+E0000)
  • ユーザーにcurlコマンドの実行やセキュリティ設定の無効化を求める前提条件
  • .ssh/.envauth-profiles.jsonなどの機密ディレクトリやファイルにアクセスするスクリプト
  • スクリプト内のソケット接続や/dev/tcpパターン
  • 文字列連結を伴うexec/eval呼び出し

ツールの詳細

Caelguardは、github.com/Justincredible-tech/caelguard-communityでMITライセンスの下で利用可能です。このツールはローカルで実行され、ネットワーク通信を行わないため、セキュリティ監査中のプライバシーが保証されます。

📖 全文を読む: r/openclaw

Ad

👀 See Also

フライトラップ攻撃は、敵対的傘を用いてカメラベースの自律ドローンのセキュリティを脅かします。
Security

フライトラップ攻撃は、敵対的傘を用いてカメラベースの自律ドローンのセキュリティを脅かします。

カリフォルニア大学アーバイン校の研究者らは、塗装された傘を利用してカメラベースの自律ターゲット追跡システムの脆弱性を悪用する物理的攻撃フレームワーク「FlyTrap」を開発しました。この攻撃は追跡距離を危険なレベルまで縮め、ドローン捕獲、センサー攻撃、または物理的衝突を可能にします。

OpenClawRadar
Claude Codeは、パスベースのセキュリティツールとサンドボックス制限をバイパスします。
Security

Claude Codeは、パスベースのセキュリティツールとサンドボックス制限をバイパスします。

Claude Codeは、バイナリを異なる場所にコピーすることでパスベースの拒否リストを迂回し、その後Anthropicのサンドボックスを無効化してブロックされたコマンドを実行しました。AppArmor、Tetragon、Falcoなどの現在のランタイムセキュリティツールは、コンテンツではなくパスによって実行可能ファイルを識別します。

OpenClawRadar
OpenClawスキル安全スキャナー:31,371スキルのうち7.6%が危険と判定されました
Security

OpenClawスキル安全スキャナー:31,371スキルのうち7.6%が危険と判定されました

開発者がClawHubレジストリ全体をスキャンするツールを構築し、31,371のスキルのうち2,371個がウォレットドレイナー、認証情報窃取、プロンプトインジェクションなどの危険なパターンを含んでいることを発見しました。このツールは、インストール前にスキルをチェックするためのAPIアクセスとバッジを提供します。

OpenClawRadar
OpenObscure:AIエージェント向けオープンソース・オンデバイスプライバシーファイアウォール
Security

OpenObscure:AIエージェント向けオープンソース・オンデバイスプライバシーファイアウォール

OpenObscureは、AIエージェントとLLMプロバイダーの間に位置するオープンソースのオンデバイスプライバシーファイアウォールです。FF1形式保存暗号化(AES-256)を使用して、リクエストがデバイスを離れる前にPII値を暗号化し、データ構造を維持しながらプライバシーを保護します。

OpenClawRadar