Nous avons scanné 5 327 compétences ClawHub. 65 étaient dangereuses.

Pourquoi nous avons scanné chaque compétence sur ClawHub

Nous construisons un marché de compétences pour LikeClaw. Pour le peupler, nous importons des compétences de ClawHub — le registre communautaire d’OpenClaw de plus de 7 000 compétences. Mais nous refusons d’importer à l’aveugle. Snyk a déjà trouvé 341 compétences malveillantes confirmées dans ce registre. Nous devions savoir exactement avec quoi nous avions affaire.

Nous avons donc construit un pipeline qui télécharge, analyse et examine chaque compétence sur ClawHub. Pas un échantillon. Pas les 100 meilleures. Toutes.

Le résultat : sur 5 327 compétences qui ont passé notre filtre de compatibilité initial, 65 ont été signalées comme dangereuses. Cela représente 1,2 % du marché. Une compétence sur 83 veut faire quelque chose qu’elle ne devrait pas.

Voici ce que nous avons trouvé, comment nous l’avons trouvé et ce que nous en faisons.

Comment fonctionne le pipeline de scan

Notre détection se déroule en trois étapes.

Étape 1 : Télécharger l’ensemble du marché. Un script Python parcourt l’API de ClawHub, téléchargeant le code source, les métadonnées et le contenu des fichiers de chaque compétence vers un stockage local. Limité à 1,8 requêtes par seconde avec un retour exponentiel. La dernière exécution a récupéré 7 001 répertoires de compétences.

Étape 2 : Filtre de compatibilité de la plateforme. Avant l’analyse de sécurité, nous filtrons pour la compatibilité avec le sandbox E2B. Les compétences qui nécessitent des binaires uniquement macOS (osascript, pbcopy, Homebrew), des conteneurs Docker ou un accès système brut sont signalées comme incompatibles et cachées. Ce filtre vérifie les dépendances déclarées, analyse le code source pour des motifs spécifiques à la plateforme et valide contre une liste noire de 39 binaires incompatibles connus. Cette étape a supprimé 114 compétences — laissant 5 327 pour l’analyse de sécurité.

Étape 3 : Analyse du code source alimentée par l’IA. Le code source complet de chaque compétence restante est concaténé et envoyé à un LLM pour évaluation de sécurité. Le modèle évalue chaque compétence selon cinq critères :

• Exfiltre-t-elle des données vers des points de terminaison inconnus ?
• Exécute-t-elle des commandes destructrices ?
• Tente-t-elle une injection de prompt ou un jailbreak ?
• Accède-t-elle à des ressources système sensibles sans but clair ?
• Contient-elle du code obfusqué ou suspect ?

Le modèle retourne un verdict structuré : sûr ou non sûr, une catégorie, une description de ce que le code fait réellement (pas ce que le marketing prétend), et des notes de sécurité pour toute préoccupation.

L’exécution complète a analysé 5 213 compétences sur environ 13,5 heures. Zéro échec. 65 compétences signalées comme non sûres. Chacune de ces 65 a ensuite été marquée cachée dans notre base de données et exclue de notre marché.

Les sept modèles de menace que nous avons trouvés

Les 65 compétences dangereuses se regroupent en modèles d’attaque distincts. Certaines sont audacieuses. D’autres sont subtiles. Quelques-unes semblent coordonnées.

Modèle 1 : Malware pur et simple

Sept compétences ont franchi la ligne de “douteux” à “clairement malveillant”. Le pire contrevenant — une compétence appelée redpacket-claim — télécharge et exécute un binaire arbitraire depuis une adresse IP codée en dur (120.48.191.124) sans vérification, sans contrôle de signature, sans invite utilisateur. Vous l’installez, et elle exécute ce que le serveur envoie.

Une autre, self-evolve, autorise son agent à exécuter des commandes bash, modifier des configurations système et altérer des fichiers sans aucune étape de confirmation. Une troisième, bun-runtime, utilise eval pour exécuter des commandes shell arbitraires passées sous forme de chaînes — le modèle le plus ancien et le plus dangereux en matière de sécurité logicielle.

Ce ne sont pas des ambiguïtés. C’est une exécution de code à distance livrée par le biais d’un marché de compétences.

Modèle 2 : Le réseau d’exfiltration de PDF

Celle-ci nous a surpris. Sept compétences apparemment sans lien — add-watermark-to-pdf, compress-pdf, merge-pdf, change-pdf-permissions, make-pdf-safe, password-protect-pdf, et remove-password-from-pdf — acheminent toutes les PDF téléchargés par les utilisateurs vers le même domaine : api.xss-cross-service-solutions.com.

Sept compétences. Un domaine. Un domaine avec “xss” dans le nom.

Les utilisateurs qui installent l’une de ces compétences et leur envoient un PDF envoient leurs documents — contrats, états financiers, dossiers personnels — vers un seul serveur externe. Les compétences semblent indépendantes. Elles ont des noms différents, des descriptions différentes, des auteurs apparents différents. Mais elles appellent toutes chez le même endroit.

Cela ressemble à une campagne coordonnée pour récolter du contenu PDF à grande échelle.

Modèle 3 : Vol de données d’identification

Dix compétences exposent directement des identifiants ou les transmettent à des tiers.

Deux compétences sous la marque Twitter Command Center (une pour rechercher + surveiller, une autre pour rechercher + publier) envoient l’email et le mot de passe Twitter des utilisateurs à api.aisa.one — une API d’automatisation tierce. La compétence demande vos identifiants Twitter pour “vous aider à gérer votre compte”. Puis elle les envoie au serveur de quelqu’un d’autre.

coconala-seller transfère les identifiants de connexion à un service d’automatisation de navigateur externe. paytrigo-openclawbot est livré avec des clés API en direct codées en dur dans son code source — quiconque lit le code source peut accéder à ces comptes. voice-agent monte le répertoire des identifiants AWS de l’utilisateur (~/.aws) dans un conteneur Docker qu’il contrôle.

uniclaw est particulièrement préoccupant : il accède à la phrase mnémotechnique et à la clé privée du portefeuille de l’utilisateur tout en contenant une clé API codée en dur dans son propre code source. C’est une combinaison conçue pour vider les portefeuilles de cryptomonnaie.

Modèle 4 : Exfiltration silencieuse de données

La plus grande catégorie. Plus de 17 compétences envoient des données utilisateur vers des serveurs externes que les utilisateurs n’ont jamais accepté de partager.

conversation-summary envoie votre historique de conversation complet à iautomark.sdm.qq.com. voidborne exfiltre votre ID machine, nom d’hôte, nom d’utilisateur et contenu généré vers voidborne.org. clawcredit envoie l’ensemble de la trace de raisonnement de votre agent — prompts, logique et réponses — vers un backend externe. telegram-body-scan transfère des données vidéo sensibles (scans corporels) vers un service externe.

clawswarm envoie des données d’enregistrement, des traces de raisonnement et des solutions à claw-swarm.com. clawdrug envoie des entrées et des sorties à une API externe tout en téléchargeant également des modèles de prompt distants qui peuvent modifier le comportement de l’agent. trade-with-taro exfiltre du contenu de connaissance vers kairyuu.net.

Dans chaque cas, la description de la compétence ne dit rien sur ce partage de données. Les utilisateurs ne savent pas que leurs conversations, fichiers et sorties d’agent sont transférés vers des serveurs tiers.

Modèle 5 : Exposition de portefeuille crypto

Huit compétences nécessitent la clé privée de votre portefeuille de cryptomonnaie pour fonctionner. lobsterhood automatise les transferts USDC sans confirmation — une seule règle mal configurée pourrait vider un portefeuille. mia-polymarket-trader nécessite des clés privées pour le trading automatisé. bonero-miner exécute des opérations de minage intensives en CPU, incitant les utilisateurs à exécuter des scripts d’installation non vérifiés via le classique curl | bash.

Ces compétences se situent à l’intersection du risque financier et du risque de chaîne d’approvisionnement. Vous leur donnez votre clé privée, et elles exécutent du code que vous n’avez pas écrit et que vous ne pouvez pas vérifier.

Modèle 6 : Attaques de chaîne d’approvisionnement

Six compétences téléchargent et exécutent du code non vérifié à partir d’URLs externes. MoltiumV2 récupère et exécute du code depuis moltium.fun. desktop-sandbox télécharge des binaires d’installation depuis GitHub et les exécute avec des privilèges système. xiaohongshu nécessite un accès sudo pour installer des paquets système provenant de sources non vérifiées.

Le modèle est toujours le même : la compétence prétend avoir besoin d’une dépendance, la télécharge depuis une URL que l’utilisateur ne peut pas vérifier, et l’exécute. C’est le vecteur d’attaque exact que Snyk a documenté dans les 335 cas de voleurs macOS — mais avec des charges utiles différentes.

Modèle 7 : XSS et injection de prompt

Trois compétences sont des attaques explicites de preuve de concept contre la plateforme ClawHub elle-même. localstorage-poc utilise JavaScript intégré dans SVG pour accéder aux tokens d’authentification depuis localStorage, puis envoie un ping à un point de terminaison externe avec le nombre de tokens. red-pill charge un iframe externe depuis clawdhub.com via un vecteur XSS SVG.

Ces compétences démontrent que la plateforme ClawHub elle-même est vulnérable au cross-site scripting à travers son pipeline de rendu de compétences. Elles existent sur le marché en tant qu’exploits fonctionnels.

Que faisons-nous des résultats

Chaque compétence signalée comme non sûre est automatiquement cachée dans notre base de données. Elle n’apparaît jamais dans les listes de compétences, les résultats de recherche ou le sélecteur de compétences. Les utilisateurs ne peuvent pas l’installer.

Mais le scan automatisé n’est que la première porte. Notre pipeline complet a trois couches :

1. Analyse automatisée détecte les 65 compétences décrites dans ce post — celles qui sont clairement dangereuses.
2. Examen humain évalue chaque compétence avant qu’elle n’apparaisse dans notre marché. Certains comportements qui semblent suspects ont des explications légitimes. Certains comportements qui semblent sûrs sont en réalité dangereux. La décision finale est humaine.
3. Exécution en sandbox signifie que même si une compétence passe les deux filtres, elle s’exécute à l’intérieur d’un conteneur E2B — un environnement isolé créé par tâche et détruit après. Une compétence malveillante à l’intérieur d’une sandbox est une compétence malveillante sans endroit où aller.

Ce que cela ne capture pas

Nous voulons être transparents sur les limites.

Notre pipeline de scan est solide mais pas infaillible. Il manquera des compétences qui :

• Obfusquent leur comportement. Charges utiles codées en Base64, stéganographie, ou attaques en plusieurs étapes où chaque étape semble bénigne individuellement.
• Utilisent une exécution retardée. Une compétence qui se comporte normalement pendant des semaines, puis active du code malveillant sur un déclencheur.
• Se mettent à jour après publication. Une compétence qui passe la révision, puis pousse une mise à jour malveillante. (Notre pipeline rescane périodiquement, mais il y a toujours une fenêtre.)
• Exploite des vulnérabilités zero-day. Attaques ciblant des faiblesses inconnues dans le sandbox ou l’environnement d’exécution.

Aucun système automatisé ne capture tout. Nous ne garantissons pas que notre marché est exempt de tout risque. Ce que nous garantissons, c’est que nous cherchons activement, nous filtrons ce que nous trouvons, et le sandbox limite le rayon d’explosion de tout ce qui passe.

C’est fondamentalement différent d’un marché qui ne regarde pas du tout.

Les chiffres, dans le contexte

65 compétences dangereuses sur 5 327 représentent un taux de 1,2 %. Cela semble faible jusqu’à ce que vous pensiez aux mathématiques d’un marché en croissance.

Avec 5 327 compétences, 1,2 % signifie 65 mines terrestres. Avec 10 000 compétences, cela signifie 120. Avec 50 000 compétences, cela signifie 600. Les registres ouverts augmentent leur surface d’attaque au même rythme qu’ils augmentent leur valeur. Chaque nouvelle compétence est soit utile, soit dangereuse, et sans scan systématique, les utilisateurs n’ont aucun moyen de faire la différence.

La recherche indépendante de Snyk a trouvé 341 compétences malveillantes confirmées sur ClawHub — un nombre absolu plus élevé car leur analyse couvrait différentes périodes et critères de détection. Nos 65 ne contredisent pas leurs conclusions. C’est un scan séparé avec une méthodologie différente qui confirme la même conclusion : le marché de ClawHub a un problème de sécurité systémique.

Les compétences que nous avons signalées sont toujours actives sur ClawHub. Toujours installables. Les utilisateurs qui exécutent OpenClaw peuvent encore les installer aujourd’hui.

Sur LikeClaw, elles sont filtrées, examinées et mises en sandbox. C’est la différence entre un registre ouvert et un marché vérifié.