情報窃取型マルウェアのインフォスティーラーがパソコンで動作するオープンソースの自律型AIエージェントを狙っているということです。どういうことでしょうか?
「デジタル従業員」に潜んでいるリスク
AIエージェントはAIにかかるタスクを自律的かつ自動的に行ってくれるソフトウェアです。さまざまなAIエージェントが開発されていますが、オーストラリア出身のプログラマーによって開発されたOpenClawは、オープンソースのAIエージェントで、情報収集やデータ整理、メッセージ送信などを人間に代わって行ってくれ、自ら指示を理解して必要な手順を考えて操作を実行するもので「デジタル従業員」などと呼ばれているようです。昨年11月にGitHub上でClawdBotという名称で登場し、その後、MoltBotに変更されて、さらにOpenClawに変更されて現在に至っているようです。
情報窃取型のマルウェアであるインフォスティーラーがAIエージェントを狙っており、OpenClawについては感染が確認されたということなのですが、どういうことなのでしょうか? OpenClawはユーザーのPC上で動作し、ローカルゲートウェイを通じてメッセージングアプリと連携、WhatsApp、テレグラム、Slack、Discord、Signalなどのアプリからコードを受けて操作することができ、ファイル操作やウェブ検索、ブラウザ上のクリック操作などを自律的に行うということです。MEMORY.mdは主にAIエージェントがプロジェクトの情報を永続的に記憶・参照するために使用するMarkdown形式のファイルで、管理設定や認証情報はjsonファイルに保持されているということです。
インフォスティーラーの検知を専門とするイスラエルのサイバーセキュリティ企業のハドソンロックのレポートによると、AIエージェントが得たデータを保存しているmdファイルやjsonファイルのデータをインフォスティーラーが盗んで被害者のローカルインスタンスにリモートで接続したり、クライアントになりすまして暗号化されたログやクラウドサービスにアクセスして機密性の高いデータを窃取することが可能になる状態があるということです。実際に被害も認められているようです。
AI革命がサイバー犯罪の金鉱になる?
ハドソンロックが確認した実感染では、インフォスティーラーは機密性の高いファイル拡張子や特定のディレクトリ名を網羅するように設計されており、特殊なOpenClawモジュールによってデータが窃取されたものではないということです。つまり、AIエージェント用に設計されたインフォスティーラーというわけではなく、インフォスティーラーが一般的な「秘密」を探していたところ、AIエージェントの全体を捕捉することでAIエージェントが保存していた情報の窃取に至ったということのようです。ただし、これは現在の状況で今後、OpenClawのようなAIエージェントがプロフェッショナルなワークフローに統合されると、インフォスティーラーの開発者は専用モジュールをリリースするだろうとハドソンロックは予想しています。
実際にインフォスティーラーは、AIエージェントが取得し保存しているデータの窃取を目的とした機能を備え始めており、マルウェア・アズ・ア・サービスにおいて「ローカルファースト」のディレクトリ構造を標的とした具体的な適応が見られるということです。この問題は単なるインフォスティーラーによる情報の窃取にとどまらずAIエージェントのハイジャックになる可能性をハドソンロックは指摘しています。
ファイルを改変したり偽情報を挿入するなどしてAIの挙動を改変することで、悪意のあるドメインを信頼させたり、データを盗み出させたりすることができ、バックドアが仕掛けられれば永続的な内部脅威になるとハドソンロックは指摘しています。AIによって新たなマルウェアが生成されるなどAIがサイバー脅威に悪用される危険性が指摘される一方、AIによる防御の効果も唱えられているわけですが、実際にはさまざまな局面でAIが使われることでデータがより流出する「隙」が生まれている可能性があり、AI革命はサイバー犯罪の金鉱になる危険性があるとハドソンロックは警鐘を鳴らしています。
【出典】
https://www.infostealers.com/article/clawdbot-the-new-primary-target-for-infostealers-in-the-ai-era/