- はじめに——AIエージェントの「スキル」が狙われている
- 前提知識——「3層防御モデル」でAIセキュリティを理解する
- なぜ今「スキルセキュリティ」が緊急なのか——2026年Q1の衝撃的事実
- OWASP Agentic Skills Top 10(AST10)——10のリスクカテゴリ完全解説
- AST01:悪意あるスキル(Malicious Skills)
- AST02:サプライチェーン侵害(Supply Chain Compromise)
- AST03:過剰な権限付与(Over-Privileged Skills)
- AST04:安全でないメタデータ(Insecure Metadata)
- AST05:安全でないデシリアライゼーション(Unsafe Deserialization)
- AST06:弱い分離(Weak Isolation)
- AST07:アップデートドリフト(Update Drift)
- AST08:不十分なスキャニング(Poor Scanning)
- AST09:ガバナンスの欠如(No Governance)
- AST10:クロスプラットフォーム再利用(Cross-Platform Reuse)
- 中小企業向け——今すぐ実践できる「スキルセキュリティ5ステップ」
- 既存のOWASPフレームワークとの関係——どう使い分けるか
- OWASPセキュリティ評価チェックリスト——スキル導入時の確認項目
- よくある質問(Q&A)
- まとめ——「行動層」のセキュリティが2026年の最重要課題
- 参考リンク
はじめに——AIエージェントの「スキル」が狙われている
Claude Code、Cursor、OpenClaw——2026年に入り、AIエージェントが自律的にタスクを実行する「エージェンティックAI」の導入が急拡大しています。これらのエージェントがファイル操作やAPI呼び出し、コード実行などの実際の行動を起こす際に使う「スキル」と呼ばれる拡張機能が、いま最大の攻撃対象になっています。
2026年3月、OWASPは従来の「LLM Top 10」「MCP Top 10」に続く第3の柱として、「Agentic Skills Top 10(AST10)」を正式リリースしました。これは、AIエージェントのスキル層に特化した世界初のセキュリティフレームワークです。
この記事では、AST10の全体像と10のリスクカテゴリを解説し、ClawHubの大規模マルウェア事件やClaude Codeの脆弱性(CVE-2026-21852)、MCPサーバーのSSRF問題など最新の実例を交えながら、中小企業でも実践できる防御策を整理します。
対象読者: AIエージェントを業務で利用している、またはこれから導入を検討しているビジネスパーソン・IT管理者
前提知識——「3層防御モデル」でAIセキュリティを理解する
OWASP AST10を理解するためには、まずAIエージェントのセキュリティが3つの層に分かれていることを知る必要があります。
| 層 | OWASPプロジェクト | 対象 | 例え |
|---|---|---|---|
| モデル層 | LLM Top 10 | LLMそのものの脆弱性(プロンプトインジェクション等) | 「脳」の脆弱性 |
| プロトコル層 | MCP Top 10 | ツールとの通信方法(MCP)の脆弱性 | 「神経系」の脆弱性 |
| 行動層(NEW) | Agentic Skills Top 10 | ツールが実際に何をするか(スキル)の脆弱性 | 「手足」の脆弱性 |
これまで見落とされていたのが「行動層」です。 MCPがエージェントとツールの「通信方法」を定義するのに対し、スキルはそのツールを「どう使うか」というワークフローを定義します。つまり、MCPサーバーが安全でも、スキルに問題があれば被害が発生します。
OWASPの公式表現を借りれば、「MCP = モデルがツールとどう話すか、AST10 = ツールが実際に何をするか」という整理になります。
なぜ今「スキルセキュリティ」が緊急なのか——2026年Q1の衝撃的事実
AST10が机上の空論ではないことを示す、2026年Q1に確認された主要インシデントを紹介します。
ClawHavoc:史上初のAIエージェントスキル大規模マルウェアキャンペーン
OpenClawのスキルマーケットプレイス「ClawHub」で、1,184件の悪意あるスキルが発見されました。感染がピークだった時点では、ダウンロード数上位7スキルのうち5つがマルウェアであったことが確認されています。
攻撃者は.envファイルや暗号資産ウォレットの秘密鍵、SSHクレデンシャル、ブラウザのパスワードを狙い、プロンプトインジェクション、隠しリバースシェル、認証情報の外部送信を組み合わせた複合攻撃を展開しました。Antiy CERTはこのマルウェアを「Trojan/OpenClaw.PolySkill」として分類しています。
Claude Code脆弱性(CVE-2025-59536 / CVE-2026-21852)
Check Point Researchが、Claude Codeに2つの脆弱性を公開しました。
| CVE | CVSS | 概要 |
|---|---|---|
| CVE-2025-59536 | 8.7 | リポジトリの設定ファイルが、プロジェクトを開いた時点でユーザーの同意なくシェルコマンドを実行可能 |
| CVE-2026-21852 | 5.3 | 同様の機構によるAPIキーの外部流出が可能 |
つまり、信頼できないリポジトリをクローンして開くだけで、リモートコード実行とAPIキーの窃取が発生し得るという深刻な問題です。設定ファイルが実質的に「実行層」の一部として機能するという新しい攻撃パターンが明らかになりました。
MCPサーバーの36.7%がSSRF脆弱
BlueRock Securityが7,000以上のMCPサーバーを分析した結果、36.7%にSSRF(Server-Side Request Forgery)の脆弱性が存在することが判明しました。特にMicrosoftの人気MCPサーバー「MarkItDown」(GitHubスター85,000超)では、任意のURIを呼び出し可能な設計上の欠陥が発見され、AWS EC2インスタンスのメタデータサービスを経由してクラウドアカウント全体を乗っ取ることが可能でした。
OpenClaw:135,000インスタンスが公開状態
SecurityScorecard STRIKE チームの調査により、82カ国にわたる135,000以上のOpenClawインスタンスがデフォルト設定のまま公開インターネットに露出していることが判明しました。そのうち63%は認証が一切設定されていませんでした。OpenClawはデフォルトで0.0.0.0:18789にバインドするため、明示的な設定変更がなければ全ネットワークインターフェースからアクセス可能な状態になります。
OWASP Agentic Skills Top 10(AST10)——10のリスクカテゴリ完全解説
AST10の10カテゴリを、実例とともに解説します。
AST01:悪意あるスキル(Malicious Skills)
リスク: マルウェアが仕込まれたスキルがレジストリに公開され、インストールしたユーザーのシステムが侵害される。
実例: ClawHavocキャンペーンでは、1,184件の悪意あるスキルがClawHubに登録されました。正規スキルに偽装し、インストール時にバックグラウンドで認証情報を外部に送信するペイロードが仕込まれていました。
対策: コード署名(ed25519)を導入し、検証済みの発行者からのみスキルをインストールする。content_hashによるスキルの完全性検証を実装する。
AST02:サプライチェーン侵害(Supply Chain Compromise)
リスク: スキルの依存関係やレジストリ自体が侵害され、正規のアップデート経路を通じてマルウェアが配信される。
実例: Claude Code CVE-2025-59536では、リポジトリの設定ファイルがプロジェクトを開いた時点でリモートコード実行を可能にしました。また、MaliciousCorgi VS Code拡張機能のケースも報告されています。
対策: ユーザーの明示的な信頼確認(Trust Prompt)なしに、リポジトリ制御の設定ファイルが実行されないようにする。依存関係は不変のハッシュにピン止めし、バージョン範囲指定を避ける。
AST03:過剰な権限付与(Over-Privileged Skills)
リスク: スキルが必要以上のシステムリソース(ファイルシステム、ネットワーク、APIキーなど)にアクセスできる状態で動作する。
実例: Snykの2026年2月の調査で、ClawHub上の280以上のスキルが宣言した機能を超えてAPIキーやPIIを外部に露出していることが判明しました。調査では90%のAIエージェントが過剰な権限を持って動作していたとの報告もあります。
対策: 最小権限の原則に従い、パーミッションマニフェストで必要最小限のアクセスのみを宣言する。ネットワークアクセスはドメインのホワイトリストで制御する(network.allowをドメイン一覧で指定)。SOUL.mdやMEMORY.mdなどのアイデンティティファイルへの書き込みアクセスは原則禁止する。
AST04:安全でないメタデータ(Insecure Metadata)
リスク: スキルのメタデータ(名前、説明、権限宣言など)が偽装され、ユーザーや自動化ツールを欺く。
実例: ClawHub上で正規開発者を模倣するタイポスクワッティング(例:「asleep123」に対する「aslaep123」)が確認されました。メタデータの権限宣言と実際の動作が乖離しているスキルが多数発見されています。
対策: risk_tier、permissions、requiresを正確に宣言し、スコープを過小申告しない。メタデータのスキーマ検証を実施する。
AST05:安全でないデシリアライゼーション(Unsafe Deserialization)
リスク: スキルファイル(YAML、JSON、Markdown)のロード時に、安全でないパーサーを使用することで任意のコードが実行される。
実例: PyYAMLの!!python/objectタグによる任意コード実行は、スキルのロード時に自動的かつサイレントに発生します。ClawHavocでは、安全に見えるSKILL.mdが依存関係のインストール段階で二次ペイロードをトリガーする手法が使われました。
対策: YAMLやJSONの安全なローダーのみを使用し、信頼されていない設定ファイルのデシリアライゼーションをサンドボックス内で実行する。スキーマに対するバリデーションを実施してから実行する。
AST06:弱い分離(Weak Isolation)
リスク: スキルがホストシステム上で直接実行され、コンテナやサンドボックスによる分離が行われない。
実例: OpenClaw CVE-2026-24763(CVSS 8.8)では、DockerサンドボックスがPATH操作によりエスケープ可能でした。ホストモードで実行されるスキルは、デシリアライゼーション攻撃の影響を劇的に増大させます。
対策: コンテナ/Docker分離をスキル実行のデフォルトにし、ホストモードは明示的なオプトインにする。スキルごとに独立した実行環境を提供する。
AST07:アップデートドリフト(Update Drift)
リスク: 承認後にスキルの内容が変更され、セキュリティレビューが無効化される。
実例: OpenClawのSkillsWatcherはリアルタイムのホットリロードを有効にしているため、上流のスキルが侵害されると即座にローカル環境にも反映されます。
対策: 依存関係を不変のハッシュにロックし、バージョン範囲指定を使わない。スキルの更新時にハッシュの再検証を実施する。
AST08:不十分なスキャニング(Poor Scanning)
リスク: パターンマッチングベースのスキャナーでは、自然言語による命令操作を利用した攻撃を検出できない。
実例: Snykの調査で、重大な脅威の13.4%がパターンマッチングスキャナーで検出されなかったと報告されています。ClawHubの「Skill Defender」スキャナー自体が攻撃者に偽の信頼シグナルとして利用されたケースもあります。
対策: 静的解析に加え、振る舞い分析(behavioral scanning)をパブリッシュ時とインストール時の両方で実施する。単一ツールではなく、静的解析・クレデンシャル検出・動的分析を組み合わせた多層パイプラインを構築する。
AST09:ガバナンスの欠如(No Governance)
リスク: 組織内でどのスキルが使われているかの可視性がなく、承認ワークフローや監査ログが存在しない。
実例: Bitdefenderのテレメトリーでは、従業員がセキュリティレビューやSOCの可視性なしに、単一のインストールコマンドでOpenClawを企業デバイスに展開している実態が確認されています。
対策: スキルのインベントリ管理、承認ワークフロー、監査ログ、エージェンティックアイデンティティ管理を含むガバナンスフレームワークを導入する。すべてのスキルアクション(ファイルアクセス、シェルコマンド、ネットワーク呼び出し、メモリ書き込み)の構造化ログを出力する。
AST10:クロスプラットフォーム再利用(Cross-Platform Reuse)
リスク: あるプラットフォームでは安全なスキルが、別のプラットフォームでは危険な動作をする。
実例: OpenClaw、Claude Code、Cursor、VS Codeなど、各プラットフォームでメタデータ形式や権限モデルが異なるため、スキルを移植する際に意図しない権限昇格が発生します。
対策: OWASPが提案する「Universal Skill Format」(統一YAMLフォーマット)を採用し、クロスプラットフォームでの安全な再利用を実現する。Merkle-rootによる透明性ログをレジストリに実装する。
中小企業向け——今すぐ実践できる「スキルセキュリティ5ステップ」
AST10の10カテゴリすべてに対応するのは大企業でも容易ではありません。中小企業がまず着手すべき5つのステップを整理します。
ステップ1:スキルの棚卸し(インベントリ作成)
何をするか: 社内で使用されているすべてのAIエージェントプラットフォーム(Claude Code、OpenClaw、Cursor、VS Code拡張など)と、インストールされているスキル・拡張機能をリストアップします。
なぜ重要か: OWASPが「2026年の確認済み攻撃を踏まえ、即時の優先事項として扱うべき」と明記している最初のアクションです。可視性がなければ防御は始まりません。
ステップ2:検証済みソースからのみインストール
何をするか: コード署名が確認できるスキルのみをインストールするポリシーを策定します。ClawHub、skills.sh、各プラットフォームのセキュリティアドバイザリーを購読します。
なぜ重要か: ClawHavocキャンペーンのように、人気スキルに偽装したマルウェアがレジストリに登録されるリスクがあるためです。
ステップ3:最小権限の原則を適用
何をするか: スキルに付与する権限を最小限に制限します。ネットワークアクセスはドメインのホワイトリスト方式で管理し、ファイルシステムへのアクセスも必要なディレクトリに限定します。
なぜ重要か: OWASPは従来の「最小権限」に加えて「最小エージェンシー(Least Agency)」の原則を提唱しています。アクセスできるものだけでなく、エージェントがどの程度の自律性を持って行動できるかを制御することが重要です。
ステップ4:サンドボックスで実行
何をするか: スキルの実行環境をDockerコンテナなどで分離します。ホストモードでの実行は原則禁止にします。
なぜ重要か: サンドボックスなしでは、1つの悪意あるスキルがシステム全体を侵害する可能性があります。
ステップ5:アップデートと監視の継続
何をするか: AIエージェントツールとスキルを最新バージョンに保ちます。スキルのアクション(ファイル操作、ネットワーク通信、コマンド実行)のログを収集・監視します。
なぜ重要か: OpenClawでは2026年2月からの63日間で138件のCVEが報告されるペースで脆弱性が発見されています。パッチの適用が遅れると、既知の脆弱性を通じた攻撃に晒されます。
既存のOWASPフレームワークとの関係——どう使い分けるか
OWASPは現在、AIセキュリティに関する複数のプロジェクトを展開しています。それぞれの対象と使い分けを整理します。
| プロジェクト | 対象レイヤー | 主なリスク例 | いつ参照すべきか |
|---|---|---|---|
| LLM Top 10 | モデル層 | プロンプトインジェクション、データポイズニング | LLMを利用するアプリケーション全般 |
| Agentic Applications Top 10 | エージェント全体 | ゴールハイジャック、ツール誤用、ローグエージェント | 自律的に判断・行動するAIエージェントの導入時 |
| MCP Top 10 | プロトコル層 | SSRF、認証不備、入力検証の欠如 | MCPサーバーの構築・接続時 |
| Agentic Skills Top 10(本記事) | 行動層 | 悪意あるスキル、サプライチェーン侵害、過剰権限 | エージェントにスキル・拡張機能をインストールする時 |
これらは排他的ではなく相互補完的です。実際のセキュリティ対策では、使用しているAIの構成に応じて複数のフレームワークを組み合わせて参照することが推奨されます。
OWASPセキュリティ評価チェックリスト——スキル導入時の確認項目
OWASPはAST10に対応した「Security Assessment Checklist」を公開しています。スキルをレビュー・承認・定期評価する際に使える主要な確認項目を紹介します。
AST01対応(悪意あるスキル):
- スキルに暗号化署名が含まれ、検証済みの発行者からのものか?
- スキルのコードがオープンソースまたはレビュー可能か?
AST02対応(サプライチェーン):
- 依存関係が不変のハッシュにピン止めされているか?
- リポジトリの設定ファイルがユーザーの信頼確認なしに実行されないか?
AST03対応(過剰権限):
- パーミッションマニフェストが宣言されているか?
- 必要最小限の権限のみが要求されているか?
AST06対応(弱い分離):
- コンテナ/Docker分離がデフォルトで有効か?
- ホストモード実行が明示的なオプトインになっているか?
AST09対応(ガバナンス):
- スキルのインベントリ管理・承認ワークフロー・監査ログが整備されているか?
- すべてのスキルアクションの構造化ログが出力されているか?
完全なチェックリストはOWASPの公式ページで確認できます。
よくある質問(Q&A)
Q1. うちの会社ではAIエージェントを使っていないので関係ない?
従業員が個人的にClaude Code、Cursor、VS Code拡張、OpenClawなどを業務デバイスにインストールしている可能性があります。Bitdefenderの調査では、セキュリティレビューなしに企業デバイスにAIエージェントを展開している実態が確認されています。まずは社内の利用実態を調査することをお勧めします。
Q2. MCP Top 10との違いは?
MCPはエージェントとツールが通信する「方法」(プロトコル)のセキュリティです。一方、AST10はツールが「実際に何をするか」(行動・ワークフロー)のセキュリティです。MCPサーバーが安全に構成されていても、インストールされたスキルに悪意があれば攻撃は成立します。両方のフレームワークを組み合わせて対策することが重要です。
Q3. OpenClawは危険だから使うべきではない?
OpenClaw自体は強力なAIエージェントツールであり、2026年3月以降のバージョンでは多くのセキュリティ修正が適用されています。問題は「デフォルト設定のまま使うこと」です。ネットワークバインドの変更(127.0.0.1への制限)、認証の有効化、スキルの検証、最新バージョンへのアップデートを行えばリスクは大幅に軽減されます。
Q4. SBOM/AIBOMとは何?
SBOM(Software Bill of Materials)はソフトウェアの構成部品一覧、AIBOM(AI Bill of Materials)はAIシステム固有の構成要素(モデル、データセット、スキルなど)の一覧です。スキルの依存関係を可視化し、脆弱性管理やコンプライアンス対応に活用します。AIエージェントの構成が複雑化する中、「何を使っているか」の可視性がセキュリティの出発点になります。
Q5. 小規模事業者でも対応が必要?
はい。侵害されたエージェントは、その環境に対して相対的に大きな被害を与えます。特にAPIキーやクラウド認証情報がAIエージェントに紐づいている場合、1つの悪意あるスキルからクラウドアカウント全体の乗っ取りに発展する可能性があります。前述の「5ステップ」は小規模事業者でも実践可能な範囲に設計されています。
まとめ——「行動層」のセキュリティが2026年の最重要課題
2026年Q1の一連のインシデントが示すのは、AIエージェントのセキュリティにおいて最も見落とされ、最も攻撃されているのが「スキル層」(行動層)だという事実です。
これまでのAIセキュリティは、モデルの安全性(プロンプトインジェクション対策)やプロトコルの安全性(MCP設定の強化)に注力してきました。しかし、エージェントが実際にファイルを操作し、APIを呼び出し、コードを実行する「行動」の部分は、十分な注意が払われてきませんでした。
OWASP AST10は、この盲点を埋めるための実践的なフレームワークです。
現時点で押さえるべき3つのポイントを整理します。
1. スキルは「npm/PyPIと同じサプライチェーンリスク」を持つ。 ClawHubの事例は、npmやPyPIで繰り返されてきたパッケージ汚染攻撃がAIスキルエコシステムにも適用されていることを示しています。
2. デフォルト設定は「安全」ではない。 OpenClawの135,000インスタンス露出は、デフォルト設定への過信が招いた結果です。AIエージェントツールを導入する際は、セキュリティ設定の見直しを前提にしてください。
3. ガバナンスは「大企業だけの話」ではない。 従業員が個人的にAIエージェントを導入する「シャドーAI」は、規模を問わずすべての組織に共通するリスクです。まずはスキルの棚卸しから始めましょう。
参考リンク
- OWASP Agentic Skills Top 10 公式ページ
- OWASP AST10 GitHub リポジトリ
- OWASP AST10 セキュリティ評価チェックリスト
- OWASP Top 10 for Agentic Applications 2026
- BlueRock — MCP fURI: Microsoft MarkItDown SSRF脆弱性
- SecurityScorecard — OpenClaw Exposed Deployments
免責事項: 本記事は2026年4月時点の公開情報に基づく情報提供であり、特定の製品やサービスの安全性を保証するものではありません。セキュリティ対策の実施にあたっては、各組織の環境に応じた専門的な判断を行ってください。OWASP AST10および関連プロジェクトは活発に更新されているため、最新情報は各公式ソースで確認してください。
コメント