スキルアナライザーがClawHubで利用可能になり、ワンコマンドインストールで導入できます。
AIスキル向けのセキュリティスキャナーであるOpenClaw Skill Analyzerが、ClawHubで簡素化されたインストールプロセスで利用可能になりました。以前はGitHubのみで提供されていましたが、ユーザーはワンコマンドでインストールできるようになりました。
インストールと機能
ClawHubからSkill Analyzerをインストールするには、次のコマンドを実行します:
npx clawhub@latest install openclaw-skill-analyzerこのツールは、プロンプトインジェクション、資格情報窃取、データ流出、バックドア、難読化などの悪意のあるパターンをスキルフォルダからスキャンします。インストール前にリスク評価を提供し、12のカテゴリーにわたる40以上の検出ルールを含んでいます。
セキュリティ機能
重要なセキュリティ機能として、Dockerサンドボックスサポートがあります。スキャンは以下の制限付きのDockerコンテナ内で実行できます:
- ネットワークアクセスなし
- 読み取り専用ファイルシステム
- 256MBのメモリ上限
- 各スキャン後にコンテナを破棄
これにより、潜在的に悪意のあるスキルをシステムから隔離します。READMEには、このサンドボックス実行のためのワンライナーDockerコマンドが記載されています。
開発状況
このツールは積極的にメンテナンスされており、新たな悪意のあるパターンが発見されると更新されます。開発者は、ツールがまだ検出できないパターンの報告を歓迎しています。
注意:Skill Analyzerをインストールする際、ClawHubが警告を表示することがあります。これは、スキャナーが自身の検出パターンをフラグするためです。
📖 Read the full source: r/openclaw
👀 See Also
ClawGuard:OpenClaw API認証情報保護のためのオープンソースセキュリティゲートウェイ
ClawGuardは、AIエージェントと外部APIの間に位置するセキュリティゲートウェイで、エージェントマシンではダミーの認証情報を使用し、実際のトークンは別途保存します。機密性の高い呼び出しにはTelegramによる承認を提供し、リクエストの監査証跡を維持します。
AIエージェントのガードレールは、積極的なメンテナンスなしでは時間とともに劣化します。
AIエージェントのガードレール(システムプロンプトで定義された安全ルール)は、システムプロンプトの更新が蓄積し、モデルバージョンが変更され、新しいツールが追加されるにつれて時間とともに劣化し、矛盾したルールや無視される安全ルールが生じ、定期的なレビューとテストが必要になることが多い。
AIシステムが12のOpenSSLゼロデイ脆弱性を発見、AIスパムによりCurlがバグ報奨金プログラムを中止
AISLEのAIシステムは、OpenSSLの最近のセキュリティリリースにおける12件のゼロデイ脆弱性をすべて発見し、AIベースのサイバーセキュリティの初の大規模実証となりました。一方、curlはAI生成のスパム提出によりバグ報奨金プログラムを中止しました。
AWSは、AI強化型攻撃により600以上のFortiGateファイアウォールが侵害されたと報告しています。
AWSによると、サイバー犯罪者は市販の生成AIツールを使用し、1か月間にわたるキャンペーンで55か国にまたがる600以上のインターネットに公開されたFortiGateファイアウォールを侵害しました。攻撃者は公開された管理インターフェースをスキャンし、脆弱な認証情報を試行し、AIを使用して攻撃プレイブックやスクリプトを生成しました。