スティーラーによるOpenClawシークレットの窃取が初めて観測される

佐々山 Tacos

2026.02.17

スティーラーによるOpenClawシークレットの窃取が初めて観測される

BleepingComputer – February 16, 2026

エージェント型AIアシスタント「OpenClaw」が急速に普及する中、情報窃取型マルウェア（インフォスティーラー）がAPIキーや認証トークンなどを含むOpenClaw関連のファイルを盗み出しているのが初めて観測されたという。

OpenClaw（旧称ClawdBot／MoltBot）はローカルで動作するAIエージェントフレームワークで、ユーザーのマシン上で永続的な構成設定とメモリ環境を維持しながら、「パーソナルなAIアシスタント」として自律的にタスクをこなすことができる。メールへの返信やレストランの予約など、さまざまなタスクをユーザーの介入なしで行うことができる一方で、OpenClawにはローカルファイルへのアクセス、Eメールやその他コミュニケーションアプリへのログイン、オンラインサービスの操作などの権限が与えられることから、プライバシーやセキュリティ上の懸念も存在する。

特に、その人気ぶりから、OpenClawの構成ファイルが脅威アクターたちに狙われ始める可能性があることが危惧されていた。というのも、こうしたファイルには、OpenClawがクラウドベースのサービスやAIプラットフォームへアクセスする際に用いられる認証トークンなどが含まれるため。セキュリティ企業のHudsonRockは、先月の時点でインフォスティーラーが同AIフレームワークの構成ファイルを盗み始めることを予測していたという。

同社は実際に、Vidarの亜種とみられるスティーラーマルウェアがOpenClawの構成環境を抜き取るのに成功したことを検知。この感染は2月13日に起きたとされ、以下のファイルが盗まれたとされる。

openclaw.json – このファイル内にあった被害者のEメール、ワークスペースパス、高エントロピーのゲートウェイ認証トークン（gateway.auth.token）が攻撃者により取得された。今回漏洩したgateway.auth.tokenが攻撃者に悪用された場合、またポートが開いている場合、被害者のローカルOpenClawインスタンスへ攻撃者がリモートで接続できるようになる恐れがある。また、AIゲートウェイへの認証付きリクエストにおいて、正規クライアントになりすまして通信することが可能になる。

device.json – このファイルには、OpenClawエコシステム内において、安全なペアリング（安全な接続確立）や署名処理のために使用される鍵（publicKeyPem、privateKeyPem）が含まれていた。攻撃者はprivateKeyPem（秘密鍵）を悪用すると、被害者のデバイスになりすましてメッセージに署名できるようになる。その結果、「Safe Device（安全なデバイス）」チェックを回避したり、暗号化されたログや被害者デバイスにペアリングされているクラウドサービスへアクセスしたりできるようになる恐れがある。

soul.mdおよびメモリファイル（AGENTS.md、MEMORY.md） – AIエージェントの挙動を定義し、日々のアクティビティログやプライベートメッセージ、カレンダーイベントといった永続的なコンテキストデータを保存するこれらのファイルにより、攻撃者はユーザーの生活の全体像を把握できるようになる恐れがある。

Hudson RockのCTOであるAlon Gal氏がBleepingComputer紙に語ったところによると、今回被害者が感染したスティーラーは特にOpenClawに狙いを絞っていたわけではなく、「token（トークン）」や「private key（秘密鍵）」といったキーワードを含むファイルやディレクトリがないかを探す中で上記のようなOpenClaw関連ファイルを探し当て、これを盗んだのだという。

それでもHudson Rockは、従来はブラウザ認証情報を主に盗んでいたスティーラーがパーソナルなAIエージェントの「ソウル（魂）」と「アイデンティティ」を収集するようになったことを踏まえ、今回の発見が「インフォスティーラーの挙動の進化における重要なマイルストーン」であると指摘している。

OpenClawが業務ワークフローに統合されるケースが増え、AIエージェント向けのより特化した仕組みが組み込まれていく中で、インフォスティーラーは今後もOpenClawのファイルからも情報を盗み取ろうとし続けるだろうとHudsonRockの研究者らはコメントしている。