Malware dans ClawHub : quand les skills d'agents IA se retournent contre vous
La version courte
Vous vous souvenez du précédent article sur OpenClaw, où je disais que les skills lui permettent d'apprendre de nouveaux trucs ? Les attaquants l'ont compris aussi.
Des chercheurs en sécurité viennent de trouver 341 skills malveillants dans ClawHub, la marketplace communautaire où les gens partagent des skills OpenClaw. C'étaient pas des petits bugs. C'était du malware conçu pour voler vos mots de passe, vos wallets crypto et vos données de navigation.
Ce qui s'est passé
Fin janvier, quelqu'un a commencé à publier des skills sur ClawHub qui avaient l'air totalement légitimes. Des descriptions pro. Une doc propre. Des noms comme "Solana Wallet Manager" ou "Twitter Integration" ou "YouTube Downloader."
Le piège était dans les instructions d'installation. Chaque skill avait une section "Prérequis" qui disait un truc du genre : "D'abord, installez openclaw-core" avec un lien bien pratique.
Ce lien ? Il ne menait à aucun vrai logiciel. Il menait à une page qui vous piégeait (ou piégeait votre agent IA) pour exécuter quelque chose de dangereux sur votre ordi. Mac et Windows étaient visés. Le malware s'appelle Atomic Stealer, et il se vend au marché noir pour 500 à 1 000 $/mois. Oui, le malware c'est un business.
Les dégâts
La société de sécurité Koi Security a audité les 2 857 skills sur ClawHub. 335 faisaient partie d'une seule campagne coordonnée qu'ils ont nommée ClawHavoc. Une autre société de sécurité a trouvé que 7,1 % de tous les skills faisaient fuiter des mots de passe et des identifiants, même ceux qui n'étaient pas intentionnellement malveillants.
Si vous avez installé un des mauvais, le malware pouvait récupérer tous les mots de passe enregistrés dans votre navigateur, vos wallets crypto, des fichiers de votre Bureau et Documents, des logs de chat, et les identifiants sauvegardés de votre Mac.
Un skill appelé "buy-anything" collectait des numéros de carte bancaire. Réfléchissez-y deux secondes.
Pourquoi un fichier markdown peut être dangereux
C'est la partie qui m'a scotché.
Les skills OpenClaw sont souvent juste des fichiers markdown avec des instructions. Personne ne pense qu'un fichier markdown est dangereux. Mais quand votre agent IA lit ce fichier, il ne fait pas que le lire. Il suit les instructions. Y compris la partie qui dit "exécutez d'abord cette commande."
Comme l'a dit Jason Meller de 1Password : "Le markdown n'est pas du contenu dans un écosystème d'agents. Le markdown est un installeur."
Chaque skill que vous installez, c'est donner les instructions de quelqu'un d'autre à votre agent IA en espérant qu'elles ne sont pas malveillantes.
C'était pas que les skills
Au même moment, un chercheur en sécurité a trouvé un bug séparé dans OpenClaw lui-même (CVE-2026-25253). Vous cliquez sur un lien, et ce seul clic permet à quelqu'un d'autre de prendre le contrôle de votre OpenClaw et d'exécuter ce qu'il veut sur votre ordi. Pas d'installation, pas d'approbation. Un clic. (Corrigé le 29 janvier.)
En plus de ça, Trend Micro a montré que des attaquants peuvent cacher des instructions dans un Google Doc ou un email. Quand votre agent lit ce document, il suit les instructions cachées. Vous vous souvenez de l'exemple du premier article sur un email qui transférait tous vos messages à un attaquant ? Des chercheurs ont démontré que ça marche vraiment.
Ce que vous devriez faire
Si vous utilisez OpenClaw et avez installé des skills depuis ClawHub, vérifiez si un skill vous a demandé d'installer quelque chose en plus ou de visiter un lien externe. C'est le signal d'alarme. Si vous avez exécuté quoi que ce soit de suspect, changez vos mots de passe et mettez à jour OpenClaw vers la dernière version.
Si vous utilisez OpenClaw sur un ordinateur de travail, arrêtez. Comme Meller l'a dit : "Ne le faites pas sur un appareil professionnel. Point final." Si c'est déjà fait, parlez-en à votre équipe IT.
Pour la suite, n'installez que des skills de personnes en qui vous avez confiance, et lisez ce qu'un skill fait avant de l'installer. S'il vous demande d'exécuter des commandes depuis des liens externes, passez votre chemin.
Vue d'ensemble
C'est le revers de la médaille de la magie que j'ai décrite dans le premier article. Le même système qui peut apprendre tout seul à transcrire vos messages vocaux peut aussi être piégé pour voler vos mots de passe.
L'équipe d'OpenClaw ajoute un scanner de sécurité et un système de signalement. Mais le vrai problème est plus grand qu'un seul outil. Les chercheurs en sécurité trouvent des problèmes similaires dans tout l'écosystème IA. Les outils IA qui peuvent agir en votre nom deviennent des cibles.
La question du premier article reste la même : comment garder le contrôle quand l'IA agit pour nous ?
On est encore en train de chercher la réponse.