Créer un marché de compétences qui ne livre pas de logiciels malveillants
341 compétences malveillantes ont été trouvées sur le marketplace d'OpenClaw. Voici comment nous avons construit les nôtres pour rendre cela impossible.
Un marché basé sur la confiance
0
Compétences malveillantes détectées
100%
Compétences examinées avant publication
0%
Compétences avec injection de prompt
341 raisons de le construire différemment
En février 2026, Snyk a publié une recherche qui a secoué la communauté des agents IA : 341 compétences malveillantes ont été trouvées sur le marketplace ClawHub d’OpenClaw. 36 % de toutes les compétences contenaient des vulnérabilités d’injection de prompt. 335 des compétences malveillantes ont installé un malware voleur de macOS — spécifiquement Atomic Stealer (AMOS).
Laissez cela s’imprégner. Les utilisateurs ont téléchargé des compétences qu’ils pensaient améliorer leur agent IA. Au lieu de cela, ces compétences ont installé un malware qui a volé leurs identifiants.
Ce n’était pas un risque théorique. C’était 341 cas confirmés de logiciels malveillants distribués à travers un marketplace en qui des millions de développeurs ont confiance.
Lorsque nous avons construit le marketplace de compétences de LikeClaw, nous avions ces 341 cas affichés sur nos moniteurs.
Pourquoi le marketplace d’OpenClaw est cassé par conception
Le problème avec le marketplace d’OpenClaw n’est pas qu’ils ne vérifient pas les malwares (bien qu’ils ne le fassent pas). Le problème est architectural.
Les compétences OpenClaw s’exécutent sur la machine locale de l’utilisateur avec les permissions de l’utilisateur. Une compétence qui prétend “formater JSON” a le même accès que n’importe quel autre programme sur votre ordinateur : elle peut lire des fichiers, faire des requêtes réseau, accéder aux identifiants et installer des logiciels.
Il n’y a pas de sandbox. Pas d’isolation. Pas de confinement. Lorsque vous installez une compétence OpenClaw, vous lui donnez les clés de votre système entier.
Même avec des processus de révision parfaits, cette architecture est fondamentalement dangereuse. Une compétence qui était sûre lorsqu’elle a été publiée peut être mise à jour avec du code malveillant. Une compétence qui effectue un travail légitime peut également exfiltrer des données en arrière-plan. Les dépendances d’une compétence peuvent être compromises par des attaques de la chaîne d’approvisionnement.
La seule façon de rendre un marketplace de compétences sûr est de s’assurer que les compétences ne peuvent pas causer de dommages même si elles essaient.
Comment nous avons construit le nôtre
Notre marketplace de compétences a été lancé en février 2026. Il a été construit sur trois principes :
Principe 1 : Révision avant publication. Chaque compétence passe par un flux de travail d’approbation avant d’être disponible pour les utilisateurs. Ce n’est pas juste une case à cocher — la révision vérifie les modèles de code malveillant, les techniques d’injection de prompt et la compatibilité avec l’exécution en sandbox.
Nous avons construit un système d’approbation complet : les compétences sont soumises, examinées et soit approuvées, soit rejetées avec des retours. Les catégories organisent les compétences par objectif. La pagination gère l’échelle. Le processus de révision est conçu pour être approfondi, pas rapide.
Principe 2 : Sandbox tout. Les compétences s’exécutent à l’intérieur des sandboxes E2B. Toujours. Une compétence qui essaie d’accéder au système de fichiers de l’utilisateur touche la limite de la sandbox. Une compétence qui essaie d’installer un logiciel l’installe à l’intérieur d’un conteneur qui sera détruit. Une compétence qui essaie d’exfiltrer des données ne peut envoyer que ce qui est à l’intérieur de la sandbox.
C’est la différence architecturale fondamentale. Les compétences OpenClaw s’exécutent sur votre machine. Les compétences LikeClaw s’exécutent dans un conteneur. Le rayon d’explosion d’une compétence malveillante sur OpenClaw est votre système entier. Le rayon d’explosion sur LikeClaw est un conteneur temporaire qui va être détruit.
Principe 3 : Détecter les incompatibilités. De nombreuses compétences OpenClaw supposent qu’elles ont un accès brut au système. Elles lisent depuis ~/.ssh/, accèdent aux bases de données système, appellent des API locales. Ces compétences sont intrinsèquement incompatibles avec l’exécution en sandbox.
Lorsque les utilisateurs importent des compétences depuis ClawHub, nous détectons automatiquement ces incompatibilités. Les compétences qui nécessitent un accès brut au système sont signalées. Les utilisateurs voient exactement ce qui ne fonctionnera pas et pourquoi. Pas de défaillances silencieuses. Pas de “cette compétence ne fonctionne pas et nous ne savons pas pourquoi.”
Le pont d’importation ClawHub
Nous n’avons pas ignoré l’écosystème OpenClaw. De nombreuses compétences ClawHub sont des outils légitimes et bien construits créés par des développeurs talentueux. Nous avons construit un pont d’importation qui permet aux utilisateurs d’apporter ces compétences à LikeClaw.
Le processus d’importation :
- Sélectionnez une compétence ClawHub à importer
- Nous l’analysons pour la compatibilité E2B
- Les fonctionnalités incompatibles sont signalées
- Les compétences compatibles sont importées et mises en attente pour révision
- Après révision, la compétence est disponible dans votre espace de travail
Cela donne aux utilisateurs accès au meilleur de l’écosystème OpenClaw sans le pire de son modèle de sécurité.
Ce qu’un marketplace vérifié signifie pour les utilisateurs
Lorsque vous installez une compétence depuis le marketplace de LikeClaw, vous savez :
- Un humain l’a examinée avant sa publication
- Elle s’exécute dans une sandbox isolée, pas sur votre machine
- Elle ne peut accéder à rien en dehors de son conteneur
- Elle a été vérifiée pour des modèles d’injection de prompt
- Si elle est importée de ClawHub, les incompatibilités ont été signalées
Comparez cela à l’installation d’une compétence depuis le marketplace d’OpenClaw, où Snyk a trouvé que plus d’un tiers contient une injection de prompt, et 335 compétences connues ont installé un malware volé d’identifiants.
Il ne s’agit pas d’être de meilleurs ingénieurs que l’équipe d’OpenClaw. Il s’agit de choisir une architecture différente. Une architecture où la sécurité n’est pas une fonctionnalité à ajouter plus tard — c’est la fondation sur laquelle tout le reste est construit.
0 est le seul nombre acceptable
341 compétences malveillantes. C’est le chiffre d’OpenClaw. Le nôtre est 0.
Pas parce que nous sommes plus vigilants. Pas parce que notre processus de révision est parfait. Mais parce que notre architecture rend les compétences malveillantes inoffensives. Une compétence qui essaie de voler des identifiants à l’intérieur d’une sandbox ne vole rien. Une compétence qui essaie d’installer un malware l’installe dans un conteneur qui sera détruit en quelques secondes.
L’architecture l’emporte sur la vigilance. À chaque fois.
Nous avons construit un marketplace de compétences qui ne livre pas de malware. Pas parce que nous sommes prudents. Parce que nous l’avons rendu architecturally impossible.
Deux approches pour les places de marché de compétences
| Compétences LikeClaw | OpenClaw Marketplace | |
|---|---|---|
| Revue de sécurité | Obligatoire avant publication | Aucun — soumission ouverte |
| Environnement d'exécution | Conteneur sandboxé | Machine locale de l'utilisateur |
| Compétences malveillantes détectées | 0 | 341+ (Snyk, 2026) |
| Taux d'injection de prompt | 0% | 36 % (Snyk) |
| Importer depuis ClawHub | Avec vérification de compatibilité | Natif |
Source : Snyk Research, février 2026
Questions sur notre marketplace de compétences
Est-ce que n'importe qui peut publier une compétence ?
Tout le monde peut soumettre une compétence, mais elle passe par un processus de révision avant d'être disponible pour les utilisateurs. Nous vérifions la présence de code malveillant, d'injection de prompt et la compatibilité avec notre environnement d'exécution en sandbox.
Puis-je importer des compétences depuis ClawHub/OpenClaw ?
Oui, avec un contrôle de compatibilité. Certaines compétences OpenClaw nécessitent un accès système brut qui n'est pas disponible dans notre environnement sandboxé. Nous détectons ces incompatibilités lors de l'importation et les signalons clairement.
Que se passe-t-il si une compétence essaie de faire quelque chose de malveillant ?
Deux couches de protection : le processus de révision le détecte avant la publication, et le sandbox le repère à l'exécution. Même si une compétence malveillante parvenait à passer la révision, elle s'exécute à l'intérieur d'un conteneur E2B isolé sans accès à votre système réel.