OpenClawスキルアナライザー:AIエージェントスキルの静的セキュリティスキャナー

OpenClawの開発者が、インストール前にスキルを悪意のあるコードについて分析するセキュリティスキャナーを公開しました。このツールは、今年初めにClawHubで341の悪意のあるスキルが発見されたことを受けて作成されました。
仕組み
この解析ツールはスキルフォルダに対して静的解析を実行し、明確なリスク評価(SAFE、LOW、MEDIUM、HIGH、CRITICAL)を提供します。スキルフォルダを指定すると、自動的にチェックが実行されます。
検出機能
このスキャナーは12カテゴリにわたる40以上の検出ルールを含んでいます。ソースで言及されている具体的な検出タイプには以下が含まれます:
- プロンプトインジェクション
- データ流出
- 認証情報窃取
- バックドア
- 難読化
このツールはGitHubで利用可能です:https://github.com/papichulomami/openclaw-skill-analyzer。
この種のセキュリティツールは、AIコーディングエージェントを扱う開発者にとって特に有用です。適切に審査されない場合、サードパーティのスキルが重大なセキュリティリスクをもたらす可能性があるためです。
📖 完全なソースを読む: r/openclaw
👀 See Also

ClawGuard:OpenClaw API認証情報保護のためのオープンソースセキュリティゲートウェイ
ClawGuardは、AIエージェントと外部APIの間に位置するセキュリティゲートウェイで、エージェントマシンではダミーの認証情報を使用し、実際のトークンは別途保存します。機密性の高い呼び出しにはTelegramによる承認を提供し、リクエストの監査証跡を維持します。

Claudeは特定のユースケースにおいて本人確認を実装しています。
Anthropicは、Claude向けに政府発行の写真付き身分証明書とライブ自撮り写真を必要とするPersona Identitiesを通じた本人確認を導入しています。確認プロセスは5分以内で完了し、悪用防止と法的義務遵守のために使用されます。

フロンティアAIがCTF競技を打ち破る — GPT-5.5、狂気のPwnチャレンジを一撃で攻略
Claude Opus 4.5とGPT-5.5は、中級から上級のCTFチャレンジを自律的に解決でき、スコアボードはセキュリティスキルではなく、オーケストレーションとトークン予算の指標になりつつある。

ローカルモデルプロンプトインジェクションスキャナー for AIスキルセキュリティ
概念実証ツールは、Ollama上のmistral-small:latestのようなローカルの非ツール呼び出しモデルを使用して、サードパーティのAIスキルに隠れたbashコマンドインジェクションをスキャンし、Claude Codeの!演算子機能におけるセキュリティ脆弱性に対処します。