Marchés de compétences en IA : Pourquoi les registres ouverts sont un cauchemar en matière de sécurité

L’attrait des places de marché de compétences en IA

Les places de marché de compétences pour agents IA sont une véritable bonne idée. Au lieu de construire chaque automatisation de zéro, vous parcourez un registre, installez une compétence pré-construite, et votre agent acquiert une nouvelle capacité en quelques secondes. Tri des e-mails, gestion de calendrier, révision de code, orchestration de pipelines de données – les compétences construites par la communauté vous permettent de sauter le code standard et d’atteindre le résultat.

Le registre ClawHub d’OpenClaw compte 5 705 compétences construites par la communauté en février 2026. Les catégories couvrent tout, du trading crypto et de l’automatisation DeFi aux flux de travail de productivité et à la gestion des réseaux sociaux. La croissance est réelle. La demande est réelle. Les gens veulent des capacités réutilisables pour agents IA, et ils les veulent d’une communauté qui construit plus rapidement qu’un seul fournisseur ne peut le faire.

Le concept fonctionne. L’implémentation est le problème.

Le problème des registres ouverts

ClawHub fonctionne comme un registre ouvert. Quiconque possède un compte GitHub d’au moins une semaine peut publier une compétence. Il n’y a pas de révision de code. Il n’y a pas de sandboxing. Il n’y a pas de processus de validation. Vous écrivez un fichier SKILL.md avec des métadonnées YAML, vous le poussez dans le registre, et il devient disponible pour chaque utilisateur d’OpenClaw sur la planète.

C’est le même modèle de confiance que npm et PyPI ont utilisé pendant des années avant que les attaques de la chaîne d’approvisionnement ne deviennent une crise à l’échelle de l’industrie. La différence est que les compétences pour agents IA ne sont pas seulement des bibliothèques importées dans une base de code – ce sont des instructions qu’un agent autonome exécute avec un accès complet au système. Un paquet npm malveillant peut compromettre un pipeline de construction. Une compétence d’agent IA malveillante peut compromettre une machine entière en temps réel.

Ce que les chercheurs ont trouvé

En février 2026, Snyk a publié son rapport ToxicSkills documentant 341 compétences malveillantes confirmées sur ClawHub. Parmi celles-ci, 335 utilisaient de fausses vérifications de prérequis pour installer un malware voleur de macOS – spécifiquement Atomic Stealer (AMOS), un collecteur de données d’identification bien connu qui exfiltre des mots de passe, des cookies de navigateur, des portefeuilles de cryptomonnaie et des données de trousseau.

Le schéma d’attaque était simple. Une compétence déclarait une dépendance système dans ses prérequis. Lorsque l’agent de l’utilisateur tentait de satisfaire cette dépendance, il exécutait une commande shell qui téléchargeait et exécutait le binaire voleur. L’utilisateur ne voyait jamais d’invite. L’agent, faisant ce que font les agents, essayait d’être utile.

Séparément, l’analyse de Snyk a révélé que 36 % des compétences ClawHub contiennent une injection de prompt – des instructions cachées intégrées dans les définitions de compétences conçues pour manipuler le comportement de l’agent. Et l’équipe de sécurité de Cisco a indépendamment démontré l’exfiltration de données à travers une compétence tierce qui transmettait silencieusement le contexte de conversation à un serveur externe.

Ce ne sont pas des attaques théoriques. Elles sont documentées, confirmées, et dans certains cas, elles sont encore actives sur le registre.

Les attaques de la chaîne d’approvisionnement sont le nouveau vecteur

Si cela vous semble familier, c’est normal. L’industrie du logiciel a passé les cinq dernières années à apprendre que les registres de paquets ouverts sont une cible privilégiée pour les attaques de la chaîne d’approvisionnement. Paquets malveillants sur npm. Typosquatting sur PyPI. Confusion de dépendances ciblant des registres internes. Le schéma est bien établi : les attaquants publient quelque chose qui semble utile, attendent que des utilisateurs non méfiants l’installent, et exécutent leur payload.

Les places de marché de compétences pour agents IA héritent de chacun de ces risques, plus un nouveau : les compétences n’importent pas seulement du code – elles donnent des instructions à un agent autonome avec accès au système. La surface d’attaque n’est pas un serveur de construction. C’est votre machine entière. Votre système de fichiers. Vos identifiants. Vos sessions de navigateur.

Lorsque Computerworld a qualifié OpenClaw de “cauchemar de sécurité”, ils n’exagéraient pas. Lorsque Gary Marcus l’a qualifié de “désastre en attente d’arriver”, le désastre s’était déjà produit 341 fois.

À quoi ressemble une place de marché de compétences sécurisée

La réponse n’est pas d’abandonner les places de marché de compétences. La réponse est de les construire avec la sécurité comme fondation, et non comme réflexion après coup. Une place de marché de compétences sécurisée a besoin de cinq choses :

Révision de code obligatoire. Chaque soumission de compétence passe par une analyse statique automatisée et une révision humaine avant d’atteindre les utilisateurs. Pas d’exceptions. Pas de voie rapide pour les éditeurs populaires.

Tests en sandbox avant approbation. Les compétences sont exécutées dans un environnement isolé pendant le processus de révision. Les réviseurs observent ce que la compétence fait réellement – ce à quoi elle accède, ce qu’elle télécharge, ce qu’elle envoie sur le réseau – pas seulement ce qu’elle prétend faire.

Isolation à l’exécution. Même après approbation, les compétences s’exécutent à l’intérieur de conteneurs sandboxés. Si une compétence passe la révision avec un comportement caché, le sandbox limite la portée de l’impact. Elle ne peut pas accéder au système de fichiers hôte, aux données d’autres utilisateurs, ou aux identifiants système.

Définition des permissions. Les compétences déclarent les permissions dont elles ont besoin. Accès aux fichiers, accès au réseau, points de terminaison API spécifiques. L’exécution impose ces déclarations. Une compétence de calendrier n’a pas à lire vos clés SSH.

Signalement communautaire. Les utilisateurs peuvent signaler un comportement suspect. Les compétences signalées sont retirées du marché et révisées à nouveau. La boucle de rétroaction est continue.

Comment LikeClaw gère cela

Chez LikeClaw, chaque compétence dans la place de marché passe par une révision de sécurité obligatoire avant publication. Les compétences sont testées à l’intérieur de conteneurs sandboxés E2B – la même technologie d’isolation qui protège vos tâches à l’exécution. Un scan automatisé vérifie les signatures de malware connues, les vulnérabilités de dépendance, et les schémas d’injection de prompt. Des réviseurs humains vérifient les résultats.

À l’exécution, les compétences s’exécutent à l’intérieur de conteneurs isolés avec des permissions définies. Une compétence ne peut pas accéder à votre système de fichiers, à vos identifiants, ou à votre réseau au-delà de ce qu’elle déclare explicitement et de ce que le sandbox permet. Si une compétence tentait la même attaque de fausse dépendance qui a compromis 335 utilisateurs de ClawHub, le sandbox la contiendrait. Le malware serait téléchargé dans un conteneur qui est détruit après exécution. Votre machine reste intacte.

C’est la différence entre un registre ouvert et une place de marché vérifiée. L’un fait confiance à la communauté pour se réguler. L’autre vérifie, puis fait confiance.

Pour un aperçu plus approfondi des problèmes de sécurité liés à l’architecture d’OpenClaw, consultez notre analyse dans OpenClaw Security: Ce que vous devez savoir. Pour une comparaison côte à côte des deux approches, consultez LikeClaw vs OpenClaw.

La demande pour des compétences d’agents IA ne va pas disparaître. La question est de savoir si vous les installez à partir d’un registre où 6 % des soumissions sont confirmées comme malware, ou d’une place de marché où chaque compétence a été révisée, testée et sandboxée avant d’atteindre votre agent.