AIエージェントが「スキル」と呼ばれる再利用可能な機能パッケージを共有・流通させるマーケットプレイス(公開市場)が急成長しています。しかし、そのオープンさが重大なセキュリティリスクを生んでいる側面も知っておきましょう。

本記事では、実際に起きた大規模攻撃事例「ClawHavoc」を軸に、AIスキルのサプライチェーンリスク(流通経路を悪用した攻撃のリスク)と、信頼できるスキルを見極めるための考え方を紹介します。
SoK: エージェントスキル — LLMエージェントにおけるツール利用を超えて
SoK: Agentic Skills — Beyond Tool Use in LLM Agents
| 著者 | Yanna Jiang, Delong Li, Haiyu Deng |
|---|---|
| URL | https://arxiv.org/abs/2602.20867 |
「スキル」がAIエージェントの拡張手段になった
いまLLMエージェントの世界では、単発のツール呼び出しを超えた「スキル」という概念が急速に広まっています。スキルとは、「いつ使うか(適用条件)」「何をするか(実行手順)」「いつ終わるか(終了条件)」「どう呼び出すか(インターフェース)」の4つを備えた、再利用可能な手続きモジュールのことです。

たとえば「Webフォームに入力する」「コードのバグを修正する」といった一連の手順をひとまとめにし、エージェントが必要に応じて呼び出せるようにします。
スキルについての基本は下記の記事を参考にしてください。
このスキルを誰でも作成・公開・共有できるマーケットプレイスが登場したことで、エコシステムは爆発的に成長しました。
とりわけOpenClawというエージェントフレームワークのスキル登録プラットフォーム「ClawHub」は、立ち上げから数週間で1万700件以上のスキルが公開され、GitHub上では20万スターを超える速度で拡大しました。
しかし、この急成長の裏側で、深刻な問題が進行していました。
1,184件の悪意あるスキルが紛れ込んでいた
2026年初頭、セキュリティ研究者たちはClawHub上で1,184件の悪意あるスキルを発見しました。セキュリティ企業Snykによる監査では、公開されている全スキルの36.8%に何らかのセキュリティ上の欠陥が含まれていることも判明しています。この一連の騒動は「ClawHavoc」と呼ばれています。
攻撃の手口は巧妙です。関与していたのはわずか12のアカウントで、しかもそのうち1アカウントだけで677件(全悪意あるスキルの57%)を公開していました。最もダウンロードされたスキル「What Would Elon Do」には9件の脆弱性(そのうち2件は深刻度が最高レベル)が含まれ、ダウンロード数は4,000件の偽装によって水増しされていました。
被害は机上の話ではありません。攻撃に使われた「Atomic macOS Stealer(AMOS)」というマルウェアは、LLMのAPIキー(課金情報に直結する認証情報)、60種類以上の暗号通貨ウォレットの秘密鍵、ブラウザに保存されたパスワードやクレジットカード情報、サーバーへのリモートアクセスに使うSSHキーなどを盗み出しました。
さらに、悪意あるスキルの91%にプロンプトインジェクション(AIへの不正な指示の埋め込み)が仕込まれていました。エージェント自体が攻撃の「共犯者」として動くよう仕向けられていたということです。ベルギーのサイバーセキュリティセンターや中国のMIIT(工業情報化部)が緊急勧告を発出し、韓国の複数のテクノロジー企業がOpenClawの使用を全面的にブロックする事態にまで発展しています※。
※参考:https://ccb.belgium.be/advisories/warning-critical-vulnerability-openclaw-allows-1-click-remote-code-execution-when, https://news.cgtn.com/news/2026-02-05/China-flags-security-risks-in-OpenClaw-open-source-AI-agent-1KwnHp9H3bO/p.html, https://www.koreatimes.co.kr/business/tech-science/20260208/top-tech-firms-ban-openclaw-over-security-breach-fears
なぜセキュリティツールの効果が出にくいか
ClawHavocが浮き彫りにしたのは、AIスキル特有の「攻撃する手段の多さ」です。
通常のマルウェアスキャナー(VirusTotalなど)は、実行ファイルに含まれる既知の悪意あるパターンを検知する仕組みです。しかし、AIスキルへの攻撃はコードだけにとどまりません。4つのさらなるリスクがある。
- まず、スキルの名前や説明文に偽の情報を埋め込み、検索結果の順位を操作する手口があります。
- 次に、スキルの発動条件を極端に広く設定し、あらゆるタスクで発動するようにする手口です。
- さらに、スキルの実行手順のうち自然言語で書かれた部分に「以前の安全ガイドラインを無視せよ」といった不正な指示を仕込む手口もあります。
- 加えて、データを盗み出した後に痕跡を残さず正常終了する仕組みも確認されています。
こうした攻撃は、コードのパターンだけを見るスキャナーでは検知できません。実際、VirusTotalが「無害」と判定した4件の悪意あるサンプルが、スキル専用の監査ツールでは正しく検知されたという報告があります。
対策するなら、コードの危険な構文を検知するルールベースの解析、自然言語部分の隠れた意図をAIで読み取る意味解析、そしてこれらを統合した信頼度スコアリングが必要になります。

信頼できるスキルをどう見極めるか
では、AIスキルを実務で活用する立場から、何に注意すべきでしょうか。論文の知見を踏まえると、以下の観点が重要になります。
人間が精選したスキルの価値は高い
SkillsBenchというベンチマーク(86タスク、7,308回の実行記録で評価)によれば、人間が精選したスキルはエージェントの成功率を平均16.2ポイント向上させました。一方、エージェントが自動生成したスキルは平均1.3ポイント低下させています。とりわけ医療(+51.9ポイント)や製造業(+41.9ポイント)など、AIモデルが学習時にあまり触れていない領域で効果が大きい結果でした。この結果はまだ単一のベンチマークによるものであり独立した追試が必要ですが、「誰が作ったか」がスキルの品質を大きく左右するという示唆は、実務上見逃せないポイントです。
スキルは「少数精鋭」が効く
同じくSkillsBenchの分析では、2〜3個の手順に絞った焦点の明確なスキルが最も効果的で(+18.6ポイント)、4つ以上の手順を詰め込んだスキルは効果が薄れました(+5.9ポイント)。網羅的なマニュアルよりも、的を絞った手順書のほうがエージェントの性能を引き出せるということです。
SkillsBenchについては以下の記事で詳しく取り上げています。
段階的に権限を広げる

スキル導入における安全性を上げるための4ステップが以下のように提案されています。
- 最初は名前と説明だけを確認できる段階から始め、
- 次に手順書を読み込む段階、
- 人間の承認付きで実行する段階、
- そして完全に自律実行を許可する段階
こうして段階的に権限を広げていきます。未知のスキルは必ず最も低い段階からスタートさせ、一度でも安全性に問題が出たスキルは即座に権限を引き下げるべきだとされています。
スキルの配布・導入プロセスに安全チェックを重ねる
以下を重ねて実行することが推奨されています。
- 作成者の身元を暗号署名で確認する仕
- スキルが依存する他のソフトウェアの安全性を監査する
- 実行中の異常な振る舞いを監視する
- 使用するスキルのバージョンを固定して不正な更新が自動反映されないようにする
npmやpipといったソフトウェアのパッケージ管理で長年培われてきた教訓を、AIスキルにも適用すべきだという指摘です。
まとめ
AIエージェントの能力を飛躍的に高めるスキルという仕組みは、同時に新たな攻撃の入口でもあります。今回の記事でも取り上げたClawHavocは、オープンなエコシステムの成長速度がセキュリティ対策の整備速度を大きく上回ったときに何が起きるかを示した、最初の大規模事例です。
こうした教訓から学び、スキルを「便利なプラグイン」としてではなく、「信頼性の検証が必要なソフトウェア部品」として扱う意識が、AIエージェントを業務に組み込むすべての組織に求められています。
本記事の関連研究