OpenClawスキルアナライザー:AIエージェントスキルの静的セキュリティスキャナー
OpenClawの開発者が、インストール前にスキルを悪意のあるコードについて分析するセキュリティスキャナーを公開しました。このツールは、今年初めにClawHubで341の悪意のあるスキルが発見されたことを受けて作成されました。
仕組み
この解析ツールはスキルフォルダに対して静的解析を実行し、明確なリスク評価(SAFE、LOW、MEDIUM、HIGH、CRITICAL)を提供します。スキルフォルダを指定すると、自動的にチェックが実行されます。
検出機能
このスキャナーは12カテゴリにわたる40以上の検出ルールを含んでいます。ソースで言及されている具体的な検出タイプには以下が含まれます:
- プロンプトインジェクション
- データ流出
- 認証情報窃取
- バックドア
- 難読化
このツールはGitHubで利用可能です:https://github.com/papichulomami/openclaw-skill-analyzer。
この種のセキュリティツールは、AIコーディングエージェントを扱う開発者にとって特に有用です。適切に審査されない場合、サードパーティのスキルが重大なセキュリティリスクをもたらす可能性があるためです。
📖 完全なソースを読む: r/openclaw
👀 See Also
KnightClaw: OpenClawエージェント向けローカルセキュリティ拡張機能
KnightClawは、OpenClawエージェントにメッセージが到達する前にそれを傍受するドロップイン拡張機能で、8層のハイブリッド検知システムと出力編集機能を提供します。完全にローカルで動作し、テレメトリーは一切なく、MITライセンスで提供されています。
愛らしいショーケースで紹介されたEdTechアプリにセキュリティ脆弱性が発見されました。
セキュリティ研究者が、Lovableで紹介されているEdTechアプリに16の脆弱性を発見しました。その中には、認証なしで18,697件のユーザーレコードを公開する重大な認証ロジックの欠陥も含まれています。このアプリはLovableの紹介ページで10万回以上閲覧され、カリフォルニア大学バークレー校、カリフォルニア大学デービス校、世界中の学校から実際のユーザーが利用していました。
Claude Code VS Code拡張機能が閉じたファイルや新しいセッション間で選択状態を漏洩
Claude Code の VS Code 拡張機能のバグにより、ファイルを閉じた後もファイル選択状態がキャッシュされ、新しい CLI セッションに機密データ(例:Supabase のサービスロールキー)が漏洩します。完全な再現手順と GitHub イシュー #58886。
Claude Codeのアクセス権限を監査する:ツールアクセス範囲設定の実践ガイド
RedditユーザーがClaude Codeの設定を監査したところ、.envファイルや本番環境の設定を編集できる過剰な権限を持つツールを発見しました。実践的な対策:グローバルとプロジェクトごとのツールを監査し、CLAUDE.mdにシークレットがないか確認し、ディレクトリごとにファイルアクセスを制限すること。