セキュリティスキャンにより、AIエージェントfind-skillsツールに深刻度の高い脆弱性が検出されました

AIエージェントが追加機能を発見・インストールするためのfind-skillsツールが、定期的なセキュリティスキャンで深刻度の高いセキュリティ上の問題として検出されました。
何が起きたのか
AIエージェントのセットアップを構築していた開発者が、より多くのスキルを見つけてインストールするためにfind-skillsツールを使用しました。インストール後、セットアップ全体でセキュリティスキャンを実行したところ、find-skillsツール自体に深刻度の高いセキュリティ上の問題が検出されました。
開発者は次のように述べています:「ツールを見つけるために使ったツールこそ、私が心配すべきものだった」。この発見はエコシステム全体の安全性について疑問を投げかけ、開発者は「このエコシステムには何か安全なものはあるのか?」と問いかけました。
ソースからの主な詳細
- 開発者は数週間にわたりAIエージェントのセットアップを構築していた
- 追加スキルを見つけてインストールするためにfind-skillsを特に使用した
- インストール後、「軽い疑念から」セキュリティスキャンを実施した
- スキャンによりfind-skillsツール自体に深刻度の高い問題が発見された
- この発見は、より広範なAIエージェントエコシステムへの信頼について疑問を提起する
この出来事は、機能を強化するために設計されたツールであっても、セキュリティ対策の重要性を浮き彫りにしています。AIエージェントのセットアップをインストールまたは変更するツールを使用する際は、潜在的な脆弱性を特定するために、インストール前後にセキュリティスキャンを実行することを検討してください。
📖 Read the full source: r/openclaw
👀 See Also

MCPwner AIペンテストツールがOpenClawで複数のゼロデイ脆弱性を発見
MCPwnerは、自動化されたペネトレーションテストのためにAIエージェントを調整するMCPサーバーであり、OpenClawにおける環境変数インジェクション、権限バイパス、情報漏洩などの深刻なゼロデイ脆弱性を、標準的なスキャナーが見逃していたものを特定しました。
Google脅威インテリジェンスグループ、二要素認証を突破する初のAI開発ゼロデイエクスプロイトを報告
Google Threat Intelligence Groupは、人気のあるオープンソースのWebベースシステム管理ツールにおいて、2要素認証を回避する初の完全AI開発ゼロデイエクスプロイトを、自己変形マルウェアやGeminiを利用したバックドアと共に検出しました。

McpVanguard: MCPベースのAIエージェント向けのオープンソースセキュリティプロキシ
McpVanguardは、AIエージェントとMCPツールの間に配置される3層セキュリティプロキシおよびファイアウォールで、プロンプトインジェクション、パストラバーサル、その他の攻撃に対する保護を約16msの遅延で追加します。

ClaudeのソースコードがNPMマップファイル経由で流出したと報告されています
@Fried_riceのツイートによると、Claude CodeのソースコードがNPMレジストリ内のマップファイルを通じて流出した模様です。HNの議論は93ポイントと35コメントを獲得しており、このセキュリティインシデントに対する開発者の関心の高さを示しています。