オフラインSBOM検証ツール「OpenClaw」、0.2秒未満で汚染されたスキルを検出

OpenClawスキルのためのオフラインSBOM検証

ある開発者が、SSHキーを密かに外部に送信する悪質なスキルを発見した後、OpenClawスキルのためのオフラインSBOM（ソフトウェア部品表）検証ツールを作成しました。このツールは、API呼び出しやインターネット接続を必要とせず、純粋なRust実装を使用してSBOMの完全性を検証します。

ソースからの主な詳細

開発者は先週、SSHキーを外部に送信していた悪質なOpenClawスキルを検出しました。これに対応して、オフラインでSBOM検証を実行するツールを構築しました。ソースのタイトルによると、検証プロセスは0.2秒未満で完了します。

ソースには、ツールが悪質なスキルをどのように識別するかを示すコードスニペットが含まれています：

POISONED
Expected: 2cf24dba...
Actual: a1b2c3d4...

これは、ツールが改ざんを検出するために、期待されるハッシュ値と実際のハッシュ値を比較していることを示しています。開発者は、将来のバージョンでCIフックや自動修正などのプロ機能を計画しています。

技術的コンテキスト

SBOM検証は、ファイルの暗号化ハッシュを既知の適正な値と比較することで、ソフトウェアコンポーネントが改ざんされていないことを保証するセキュリティ手法です。OpenClawスキルは、AIコーディングエージェントの機能を拡張するモジュラーコンポーネントであり、侵害された場合には潜在的な攻撃経路となります。オフライン検証は外部サービスへの依存を排除し、攻撃対象領域を削減します。

Rustは、メモリ安全性の保証とパフォーマンス特性が選ばれた理由であり、特にセキュリティが重要なツールにとって貴重です。タイトルで言及されている0.2秒未満の検証時間は、ツールが効率的なハッシュアルゴリズムと最小限のオーバーヘッドを使用していることを示唆しています。

OpenClawを使用する開発者にとって、このツールは特定のセキュリティ上の懸念、つまりダウンロードしたスキルが悪意のあるコードを含むように変更されていないことを検証する問題に対処します。計画されているCIフックは、この検証を継続的インテグレーションパイプラインに統合し、自動修正は検出された問題を自動的に修復する可能性があります。