オープンソースAIエージェントプロジェクトのOpenClawがGitHubで30万以上のスターを獲得し、世界トップ10のリポジトリに躍進する中、ハッカーたちが狙いを定めている。セキュリティ企業OX Securityは、最近大規模なフィッシング活動が発生し、ハッカーがGitHubの「スター付与」機能を悪用して偽の「$5,000 CLAWトークン獲得」メッセージを拡散し、ユーザーを誘導して暗号資産ウォレットを狙っていると指摘している。
(前提情報:黄仁勳GTC2026講演全文:AI需要は兆ドル規模、計算能力は350倍に跳躍、OpenClawで全企業がAaaSに)
(背景補足:中国国家安全部が警告「ロブスター養殖」:OpenClawには四つの安全地雷が埋まっており、あなたの端末が乗っ取られる可能性も)
目次
Toggle
- GitHub「スター付与」機能の悪用
- 「ピクセルレベル」コピーされた公式サイトと隠されたウォレット狩りツール
- 創設者が緊急声明:OpenClawは絶対にトークン促進を行わない
- 複合的攻撃手法:偽装インストールパッケージと悪意のプラグイン
AIエージェント(AI Agents)のブームの中、人気のオープンソースプロジェクトはハッカーによる精密攻撃の新たな戦場となっている。2026年3月18日にネットセキュリティ企業OX Securityが発表した警告によると、現在OpenClaw支持者を狙った「ウォレット狩り」攻撃が進行中だ。
GitHub「スター付与」機能の悪用
この攻撃が多くの経験豊富な開発者を巻き込んでいる理由は、「Living-off-the-land(生き延びるための)」と呼ばれる社会工学的手法を採用している点にある。ハッカーはGitHub APIを利用し、OpenClawにスターを付けた高価値ターゲットのリストを抽出。その後、悪意のリポジトリ内でディスカッションを開始し、同時に複数の開発者をタグ付けしている。
これらの通知はGitHubの公式メールアドレス([email protected])から送信されており、非常に巧妙だ。攻撃者はメッセージ内で、受信者が「$5,000相当のCLAWトークン」を獲得できると偽りの賞品を提示し、フィッシングサイトへ誘導している。
「ピクセルレベル」コピーされた公式サイトと隠されたウォレット狩りツール
OX Securityの技術分析によると、攻撃者はtoken-claw[.]xyzなどの悪意のドメインを設置し、OpenClawの公式サイト(openclaw.ai)をほぼ完璧に模倣した偽サイトを作成している。しかし、フィッシングサイトには「ウォレット接続(Connect your wallet)」ボタンが追加されている。
ユーザーがこのボタンをクリックすると、裏側で隠された「ウォレット狩り(Wallet Drainer)」スクリプトが起動し、MetaMaskやWalletConnectといった主要な入口をサポート。背後の混乱スクリプト「eleven.js」はC2サーバーwatery-compost[.]todayと連動し、ユーザーの許可後に瞬時にアカウント内の資産をすべて盗み出す。
創設者が緊急声明:OpenClawは絶対にトークン促進を行わない
この激しい攻撃に対し、OpenClawの創設者ピーター・スタインバーガーは、X(旧Twitter)上で厳重に警告を発している。
「皆さん、OpenClawに関連するトークンのメールやウェブサイトを受け取った場合、それは絶対に詐欺です。OpenClawは非営利のプロジェクトであり、そのようなプロモーションは一切行いません。」
もしOpenClawに関するトークンやキャンペーンのメールを受け取ったら、それは常に詐欺です。
当プロジェクトはオープンソースで非商用です。公式ウェブサイトを利用してください。商用ラッパーを装った者には注意を。
— Peter Steinberger 🦞 (@steipete) 2026年3月18日
複合的攻撃手法:偽装インストールパッケージと悪意のプラグイン
実際、OpenClawはこれだけにとどまらない。今月初め、セキュリティ研究者は以下の脅威も発見している。
- 偽装インストールプログラム: 悪意のリポジトリはBing AIの検索結果の重みを利用し、Vidar情報窃取型トロイの木馬を仕込んだ偽OpenClawインストーラーを拡散。
- npmのサプライチェーン汚染: ハッカーは@openclaw-ai/openclawaiという悪意のパッケージを公開し、インストール後にGhostLoaderリモートアクセス型トロイを展開。
- ClawHubの悪意プラグイン: OpenClaw用の「スキル(Skills)」ストアには、12%以上のプラグインにAMOS情報窃取ソフトが仕込まれていることが判明。
現在、OpenClawはGitHubで世界第九位の人気を誇る。セキュリティ専門家は、すべての開発者に対し、企業証明書や大量の資産を含む端末で未知のAIプラグインを直接テストしないこと、そして「ブラインド署名(Blind signatures)」の許可リクエストを絶対に承認しないよう呼びかけている。
免責事項:このページの情報は第三者から提供される場合があり、Gateの見解または意見を代表するものではありません。このページに表示される内容は参考情報のみであり、いかなる金融、投資、または法律上の助言を構成するものではありません。Gateは情報の正確性または完全性を保証せず、当該情報の利用に起因するいかなる損失についても責任を負いません。仮想資産への投資は高いリスクを伴い、大きな価格変動の影響を受けます。投資元本の全額を失う可能性があります。関連するリスクを十分に理解したうえで、ご自身の財務状況およびリスク許容度に基づき慎重に判断してください。詳細は
免責事項をご参照ください。
関連記事
スペイン警察、違法マンガ海賊サイトから€400Kの暗号資産を押収、3人逮捕
ゲートニュース記事、4月24日――アルメリア州のスペイン警察は、同国最大の違法マンガ配信プラットフォームへの家宅捜索の際、約€400,000を含む暗号資産のコールドウォレット2つを押収した。 この作戦に関連して3人が逮捕された。 作戦は2025年中頃に知的財産権の権利者からの申し立てを受けて開始され
GateNews1時間前
OFAC、暗号詐欺ネットワークをめぐりカンボジアの上院議員を制裁
OFAC、暗号詐欺ネットワークをめぐりカンボジアの上院議員を制裁
米国財務省外国資産管理局 (OFAC) は、アメリカ人をだましたカンボジア国内の「詐欺拠点」を支配しているとされるカンボジアの上院議員コック・アンを制裁した。OFAC はアンとほか28人を指定した
CryptoFrontier1時間前
米国がカンボジアの政官を制裁!数十億ドル規模の詐欺パークを対象に、Tether が3.44億ドル超のUSDTを凍結
米国財務省と司法省は、東南アジアでますます横行する暗号資産の「ハイプ(豚殺し)ロマンス詐欺」に対し、最近共同捜査を行いました。 当局は、カンボジア上院議員ロアン(Kok An)およびその犯罪ネットワークに関与する 28 名の個人と団体を公式に制裁すると発表し、同議員が政治的な影響力と傘下のカジノ施設を利用して、大規模な詐欺および人身売買活動を庇護したと非難しています。 推計によれば、これらの詐欺行為だけで単年あたり米国の一般市民が被る損失は最大 100 億ドルにのぼるとされています。 今回の取り締まりに合わせて、ステーブルコイン発行会社の Rether も、問題に関連するデジタル資産のうち 3.44 億ドル超を凍結しています。
恋愛ハイプ(豚殺し)詐欺:米国民の単年損失が 100 億ドル超
近年、東南アジアを拠点とする国際犯罪組織が、大量に採用しているのが「ハイプ(豚殺し)」(Pig Butchering)の養い込み・殺害(養套殺)型詐欺の手法です。 詐欺師は、ソーシャルメディアや通訊ソフトなどを通じて、数か月
ChainNewsAbmedia1時間前
マドゥロ拘束をPolymarketで賭けるために機密情報を悪用したとして米陸軍兵士が逮捕
ゲートニュース 4月24日 — 米司法省は現役の米陸軍兵士ガンノン・ケン・ヴァン・ダイク(38)を、予測市場であるPolymarket上で、前ベネズエラ大統領ニコラス・マドゥロの拘束に関して賭けを行うために機密情報を使用したとして逮捕した。ヴァン・ダイクは…
GateNews1時間前
Zondacrypto取引所で3.5億ドルの資金流用疑惑、CEOが公に否認
ポーランド最大の暗号資産取引所の1つである Zondacrypto のCEOプシェミスワフ・クラクル(Przemysław Kral)は、4月16日にソーシャルメディア上で声明し、当該取引所は4,503枚のビットコインを保有するウォレットにアクセスできないことを明らかにした。同ウォレットの現在価値は3.5億ドル超。クラクルは不正流用の告発を否定するために問題のウォレットアドレスを公開したが、この開示は直ちに大規模な出金を引き起こした。
MarketWhisper3時間前
