341 compétences malveillantes trouvées dans le marketplace d'OpenClaw (2026)

OpenClaw a prouvé quelque chose d’important

OpenClaw a atteint plus de 145 000 étoiles sur GitHub en 10 semaines. C’est le projet open-source à la croissance la plus rapide de mémoire récente. Et cette croissance a été méritée. L’idée d’un agent IA autonome qui fait réellement des choses – exécute du code, gère des fichiers, exécute des scripts, surveille votre boîte de réception – a résonné auprès de centaines de milliers de développeurs.

La vision est juste. Une IA qui parle est utile. Une IA qui agit est transformative.

Mais le modèle de sécurité présente des défauts critiques que cinq grandes organisations ont désormais documentés. Ce n’est pas de la spéculation. Ce sont des résultats de Snyk, Kaspersky, Cisco, Wiz et Bitsight, publiés dans des recherches évaluées par des pairs et des avis de sécurité officiels. Si vous utilisez OpenClaw ou envisagez de le faire, vous devez comprendre ce qu’ils ont trouvé.

Le problème de la chaîne d’approvisionnement de ClawHub

ClawHub est le marché communautaire d’OpenClaw pour les compétences – des packages préconstruits qui étendent ce que l’agent peut faire. En février 2026, il héberge 5 705 compétences construites par la communauté. Quiconque possède un compte GitHub de plus d’une semaine peut publier.

La recherche ToxicSkills de Snyk a révélé que 341 de ces compétences sont malveillantes. Parmi celles-ci, 335 utilisent de faux prérequis pour installer des malwares de vol de macOS, en particulier Atomic Stealer (AMOS), qui collecte les mots de passe des navigateurs, les portefeuilles crypto et les cookies de session.

Pire : Snyk a analysé un échantillon plus large et a trouvé que 36 % des compétences ClawHub contiennent une injection de prompt – des instructions cachées qui détournent le comportement de l’agent. Une compétence qui prétend formater vos e-mails pourrait silencieusement instruire l’agent d’exfiltrer vos fichiers.

Ce n’est pas un cas hypothétique. C’est un constat mesuré et publié.

Accès brut au système avec une mince barrière de sécurité

OpenClaw fonctionne comme un processus de longue durée sur votre machine avec accès à votre système de fichiers, votre shell et votre réseau. Le modèle de sécurité repose sur une liste d’autorisation – une liste de commandes approuvées que l’agent peut exécuter. Tout le reste est théoriquement bloqué par l’analyse des motifs AST du shell.

En pratique, c’est une frontière faible. L’approche de la liste d’autorisation signifie que la sécurité dépend de la prédiction de chaque motif de commande dangereux à l’avance. Des chercheurs ont démontré des contournements. Le blog de Kaspersky a documenté des scénarios spécifiques où les larges permissions de l’agent permettent un mouvement latéral à travers votre système.

Le problème central : le modèle de sécurité d’OpenClaw est opt-out (bloquer les motifs connus comme mauvais) plutôt que opt-in (autoriser uniquement les actions explicitement approuvées dans des environnements isolés). La sécurité opt-out a une longue histoire d’échecs en ingénierie logicielle.

Exposition des identifiants en texte clair

OpenClaw stocke les clés API dans ~/.clawdbot en texte clair. Votre clé OpenAI, clé Anthropic, clé Google, et tous les tokens de service dont l’agent a besoin – tous dans un fichier lisible sur votre système de fichiers.

Ça devient pire. Lorsque les utilisateurs changent de clés, les anciennes valeurs sont parfois conservées dans des fichiers .bak dans le même répertoire. Une compétence malveillante – ou tout processus ayant accès en lecture aux fichiers – peut récolter à la fois les identifiants actuels et historiques en une seule opération de lecture.

Ce n’est pas un cas marginal. C’est le comportement par défaut.

Exécution de code à distance en un clic

Des chercheurs en sécurité ont documenté une vulnérabilité RCE à un clic dans le flux d’installation des compétences d’OpenClaw. Un package de compétence conçu peut exécuter du code arbitraire sur la machine hôte lors de l’installation – avant que l’utilisateur ait la chance de revoir ce qu’il fait.

Combiné avec le problème de la chaîne d’approvisionnement de ClawHub, cela crée un chemin d’attaque direct : publier une compétence malveillante, attendre les installations, exécuter du code sur chaque machine qui l’installe.

Démonstration d’exfiltration de données par Cisco

L’équipe de sécurité IA de Cisco a publié une démonstration détaillée montrant comment une compétence tierce peut silencieusement extraire des données sensibles du système hôte. La compétence semble bénigne – effectuant sa fonction annoncée – tout en lisant simultanément des fichiers et en envoyant le contenu à un serveur externe.

Parce que les compétences OpenClaw fonctionnent avec les mêmes permissions que l’agent (qui a un large accès au système), il n’y a pas de barrière d’isolement entre ce qu’une compétence est censée faire et ce qu’elle fait réellement.

Ce que dit la communauté de la sécurité

La réponse de la communauté de la sécurité a été directe :

• XDA-Developers a publié un article intitulé “Veuillez arrêter d’utiliser OpenClaw”
• Computerworld a décrit la plateforme comme “un cauchemar de sécurité”
• Gary Marcus l’a qualifiée de “désastre en attente”
• Kaspersky a publié un article de blog détaillé cataloguant des vulnérabilités spécifiques et recommandant aux utilisateurs d’isoler OpenClaw sur du matériel dédié

Ce ne sont pas des voix marginales. Elles représentent le consensus général de la communauté de recherche en sécurité.

Ce que vous pouvez faire

Si vous utilisez actuellement OpenClaw, vous avez trois options :

Option 1 : Renforcez votre configuration existante. Déplacez OpenClaw vers une machine virtuelle isolée. Évitez toutes les compétences ClawHub. Stockez les clés API dans un gestionnaire de secrets approprié au lieu de ~/.clawdbot. Utilisez la openclaw-secure-stack de la communauté pour le scan des compétences et la protection contre l’injection de prompt. Cela réduit le risque mais n’élimine pas le problème architectural fondamental.

Option 2 : Essayez NanoClaw. Ce fork de 700 lignes en TypeScript fonctionne à l’intérieur des conteneurs Apple, offrant un isolement significatif sur macOS. Il est minimal, prend en charge moins d’intégrations et est en phase précoce – mais il aborde le problème d’accès brut au système.

Option 3 : Passez à une alternative sandboxée. Les plateformes basées sur le cloud comme LikeClaw exécutent tout le code de l’agent à l’intérieur de conteneurs E2B isolés. Les compétences sont vérifiées avant publication. Les identifiants sont chiffrés. Il n’y a pas de machine hôte à compromettre. Le compromis est que votre agent fonctionne dans le cloud plutôt que localement.

Le bon choix dépend de vos priorités. Si la confidentialité locale est non négociable, renforcez votre configuration ou essayez NanoClaw. Si la sécurité et l’absence de configuration sont plus importantes, les agents cloud sandboxés éliminent toute la catégorie de risque.

La leçon plus profonde

Les problèmes de sécurité d’OpenClaw ne sont pas des bugs à corriger. Ce sont des conséquences d’une décision architecturale : donner à l’agent un accès complet au système et réfléchir à la sécurité plus tard.

Cette approche ne se développe pas. À mesure que les agents IA deviennent plus capables et plus autonomes, le rayon d’explosion d’un échec de sécurité s’élargit. L’industrie se dirige vers une exécution sandboxée pour la même raison que nous sommes passés de l’exécution de code en tant que root à son exécution dans des conteneurs. L’isolement n’est pas une limitation. C’est une fonctionnalité.

La demande qu’OpenClaw a prouvée est réelle. Des agents IA autonomes qui exécutent du code, gèrent des fichiers et automatisent des flux de travail – c’est l’avenir. La question est de savoir si cet avenir fonctionne sur votre machine bare ou à l’intérieur d’un sandbox conçu pour cela.