報告日: 2026-03-11

サンプル範囲: ダウンロードによるClawHubトップ100スキル(2023年3月10日、北京時間18:30現在)

検出エンジン: AgentGuard Skills Security Scanning Engine

スキャンの目的: 最も人気のあるAIエージェントスキルの基本的なセキュリティ姿勢を評価し、特権の乱用、敏感な操作、悪意のある行動パターンなどの潜在的なリスクを特定すること。

📊 1. エグゼクティブサマリー

このセキュリティスキャンは、ClawHubエコシステムで最も頻繁にダウンロードされた100のスキルの完全な分析を実施しました。全体的な結果は次のとおりです:

  • スキャンされたサンプルの合計:100

  • 成功したスキャン率:100%(パースの失敗や欠落ファイルなし)

  • ブロックされたスキル:21(21%)

  • 警告スキル:17(17%)

  • 合格したスキル:62(62%)

    主要な発見:上位100スキルの中で、21%が明示的な高リスク操作(直接ネットワークトンネリング、機密API呼び出し、または自動メッセージングなど)を含んでいます。これらのスキルに対しては、実行前にヒューマン・イン・ザ・ループ(HITL)確認メカニズムを強制して、高リスクアクションの手動レビューを確保することを推奨します。

    さらに、17%のスキルには特定のリスク信号があり、注意して実行する必要があります。より厳格なセキュリティ要件を持つユーザーには、これらのスキルの手動確認を有効にすることも推奨されます。

    📈 2. リスクレベルの分布

    AgentGuardのルールセットに基づいて、スキャン結果は4つのリスクレベルに分類され、以下の分布があります:

    🚨 3. 高リスク(クリティカルおよび高)スキルの分析

    このセキュリティスキャンでは、21のスキルがクリティカルまたは高リスクルールをトリガーした後、直接ブロックされたと分類されました。これらのスキルは主に以下の高リスクの運用シナリオに該当します:

    3.1. ヘッドレスブラウザと自動化(ブラウザ自動化)

    これらのスキルは通常、Puppeteer/PlaywrightまたはパッケージCLIツールを呼び出し、エージェントが自由にインターネットにアクセスできるようにします。

    • 影響を受けるスキル:agent-browser(クリティカル)、agent-browser-clawdbot(クリティカル)

    • 検出理由:ヘッドレスブラウザプロセス制御、任意のJSスクリプトの実行、または複雑なDOMインタラクションの検出。

    • リスク影響:これはSSRF(サーバーサイドリクエストフォージェリ)、内部ネットワークのプロービング、悪意のあるスクレイピングのためのCAPTCHA保護のバイパス、またはフィッシングウェブサイトからのペイロードのトリガーに使用される可能性があります。

    3.2. コミュニケーションとメッセージング(コミュニケーションとメッセージング)

    ユーザーのメールやメッセージングツールを直接制御してメッセージを送信するスキル。

    • 影響を受けるスキル:agentmail(クリティカル)、whatsapp-business(クリティカル)、imap-smtp-email(クリティカル)、mailchimp(高)

    • 検出理由:SMTP/IMAPプロトコルのキーワード、バルクメッセージングAPIエンドポイント、および高特権通信トークンの検出。

    • リスク影響:エージェントがプロンプトインジェクション攻撃によって侵害された場合、攻撃者はこれらのスキルを使用してスパムを送信したり、ソーシャルエンジニアリング詐欺を行ったりして、ユーザーの評判を損なう可能性があり、プライバシーコンプライアンス要件に違反する可能性があります。

    3.3. 高特権CRMとクラウドリソースAPI(エンタープライズAPIゲートウェイ)

    プロキシゲートウェイを通じてエンタープライズSaaSプラットフォームでの読み取り/書き込み操作を行うスキル。

    • 影響を受けるスキル:google-workspace-admin(クリティカル)、google-slides(クリティカル)、feishu-evolver-wrapper(クリティカル)、pipedrive-api(高)、youtube-api-skill(高)、trello-api(高)、google-meet(高)

    • 検出理由:ルールエンジンは、機密データを変更する能力を持つREST APIリクエスト構造を検出し、外部システムの状態を変更する能力も検出しました。

    • リスク影響:エージェントは、販売、財務、文書、またはメディア資産(管理者権限の付与または取り消しを含む)などのコアエンタープライズデータを直接変更または削除する可能性があります。厳格なヒューマン・イン・ザ・ループの検証がない場合、運用上のミスは重大な損失をもたらす可能性があります。

    3.4. ディープ検索エンジンとスクレイピング集約(検索とスクレイピング)

    ディープコンテンツクロールおよびマルチエンジン集約が可能なツール。

    • 影響を受けるスキル:brave-search(高)、duckduckgo-search(高)、multi-search-engine(高)、tavily(高)

    • 検出理由:高頻度の外部ネットワークリクエストラッパー、HTMLパース、およびスクレイピングライブラリの検出。

    • リスク影響:ターゲットウェブサイトからのIP禁止の可能性に加え、安全でないウェブコンテンツの抽出(未フィルタHTMLの直接読み取りやウェブページコンテンツの実行など)は、間接的なプロンプトインジェクションリスクを引き起こす可能性があります。

    3.5. コアロジックの変更と特権昇格(自己変更と特権昇格)

    エージェントの動作変異、隠された設定の変更、またはシステムレベルの資格情報へのアクセスを含むスキル。

    • 影響を受けるスキル:free-ride(クリティカル)、moltbook-interact(クリティカル)、trello(クリティカル)、evolver(高)

    • 検出理由:隠し.json設定ファイルなどのシステムファイルへの書き込みアクセスリクエストの検出、ローカル資格情報の読み取り能力、またはBashコマンド内の機密トークンの直接連結。

    • リスク影響:これらのスキルは、権限なしにエージェントのコア動作ルールを変更し、既存のシステム制限をバイパスし、コマンドインジェクションの脆弱性により重要なAPIキーを漏洩させる可能性があります。

    ⚠️ 4. 中リスク(中/警告)スキルに注意が必要

    合計で17のスキルが中リスクと分類されました。これらのほとんどは、サードパーティアプリケーションのための統合インターフェースです。スキャンエンジンはこれらを直接ブロックしませんでしたが、以下の考慮事項が適用されます:

    • カレンダーとスケジューリングツール(caldav-calendar、calendly-api)

    • 生産性とコラボレーションツール(notion、x-twitter、xero、typeform)

    • Microsoftエコシステムの統合(microsoft-excel、outlook-graph、outlook-api)

    • ユーティリティツールキット(mcporter、asana-api、clickup-api)

    分析:これらのスキルの主な特徴は、その機能が中立的であることですが、高価値の資格情報を持っていることです。セキュリティスキャンでは、ユーザーからアクセストークンを要求することが特定されましたが、コードレベルで明示的な悪意のあるロジックは検出されなかったため、警告が付けられました。しかし、エージェントがこれらのスキルを使用するように騙された場合(例えば、「明日のすべての会議を削除する」や「このNotionドキュメントを公開する」と指示された場合)、重大な損害が発生する可能性があります。

    🛡️ 5. 概要とセキュリティ推奨事項

    このセキュリティスキャンは、ClawHubで最もダウンロードされた上位100のスキルの約20%が明示的な高リスク操作を含んでいることを示しており、スキルに対するセキュリティスキャンとレビューを実施する必要性を示しています。

    ユーザーとエコシステム開発者への推奨事項:

    5.1. 高リスクスキル(ブロックされた)の使いやすさを向上させる:一律の禁止を避けます。agent-browserやagentmailなどの高価値スキルについては、実行前にヒューマン・イン・ザ・ループ(HITL)確認メカニズムを強制することを推奨します。送信される特定のコンテンツや実行されるアクションを表示し、明示的なユーザーの承認後に実行を進めるべきです。

    5.2. 「間接的プロンプトインジェクション」に対する保護を強化:高とマークされたすべての検索関連スキルについて、エージェントに返されるコンテンツは厳格なサニタイズ(HTMLタグやスクリプトの除去など)を受けなければならず、外部ウェブページからの悪意のあるコンテンツの注入を防ぐ必要があります。

    5.3. 定期的なセキュリティ健康チェックを実施する:この分析で特定されたセキュリティの盲点に基づき、特定の設定ファイルパスの変更(例:AGENTS.md)およびシステムデスクトップ制御ライブラリの呼び出しを高リスク行動リストに追加する必要があります。あるいは、開発者はAgentGuardのセキュリティ検査とスキルスキャン機能を使用して、エージェントとそのスキルのセキュリティ姿勢を定期的に監査できます。


    👉付録:ClawHub上位100スキルのセキュリティスキャンの詳細結果


    リンクをクリックして表示:
    https://inky-punch-9d2.notion.site/Appendix-Detailed-Results-of-the-ClawHub-Top-100-Skills-Security-Sca-3215da0dd7ad80719937c66b7c1225b3?source=copy_link