46 000 fichiers Markdown. Les agents IA les avalent tout crus, les décortiquent, les exécutent — en confiance totale.
Un développeur a vu le coup venir et a bâti un scanner : clawhub-bridge. Il ne piste pas les bugs de code. Non, il débusque ce que ces « skills » soufflent aux agents : exfiltrer des données ? Piquer des clés ? Gonfler les privilèges ?
145 motifs. 42 catégories. Sur 2 000 skills tirés au sort dans l’archive sauvage d’OpenClaw : 14,5 % d’échecs. Ça fait 291 skills. Le lot curated ? 13,1 %.
Les chiffres bruts ne trompent pas
L’échantillon de l’archive complète a craché 1 034 alertes critiques, 406 élevées, 75 moyennes. Le champion toutes catégories : exfiltration de données externes via curl POST — 576 fois. Des skills qui canalisent vos infos vers des serveurs louches.
Viennent ensuite les homoglyphes cyrilliques, 158 cas. Des astuces Unicode sournoises qui imitent des lettres banales pour faire passer n’importe quoi aux agents en esquivant les filtres.
Élévation de privilèges avec sudo : 82. Posts sur les réseaux sans votre feu vert : 60. Récup de clés SSH : 43. Transferts crypto : 29. Exécution de code distant via curl | bash : 28.
Un bijou issu du scan :
Un skill nommé claude-connect promet de « connecter votre abonnement Claude à Clawdbot en un clin d’œil ». Ce qu’il fait vraiment : - Lit les jetons OAuth dans votre trousseau macOS Keychain - Les écrit dans la config d’une autre app - Crée un LaunchAgent pour la persistance (relance auto toutes les 2 heures)
Pratique ? Ou modèle de voleur de credentials ? L’intention peut être louable, mais le motif hurle le danger. Un skill compromis, et tous vos jetons partent en fumée.
Pourquoi la curation OpenClaw patine ?
Collection curated — 559 skills, triés sur le volet pour la qualité. Taux d’échec : 13,1 %. Pile poil comme les 14,5 % de l’archive complète. Mais creusez un peu.
Zéro homoglyphe cyrillique dans le curated. L’archive entière ? 158. La curation élimine le toc flagrant, rate les lames subtiles.
Chaînes de délégation profondes — 50 cas. Agent appelle agent appelle agent. Ajoutez des motifs « ignore_instructions » (14 repérés), et vlan : attaque du deputy confus. Votre bot de confiance devient marionnette du mal.
Persistance OS ? 18 LaunchAgents macOS, 14 services systemd. Parfait pour un vrai démon. Mortel couplé à de l’envoi de données ou lecture de clés.
Des faux positifs, bien sûr — outils d’audit avec payloads de test, espaces zéro-width chinois pour le formatage. Un tri manuel sur les flags curated ramène les menaces réelles à 5-8 %. Mais à l’échelle de 46 000 skills, ça fait des milliers.
Mon angle unique, que vous ne trouverez nulle part ailleurs : ça rappelle l’apocalypse npm de 2018. À l’époque, 14 % des top packages étaient malveillants. OpenClaw tape dans le même mille, mais pire : ce ne sont pas de simples libs, ce sont des blueprints comportementaux pour agents autonomes. Le malware npm volait les creds en douce ; les skills OpenClaw piratent le cerveau de votre IA. L’histoire le dit : ignorer les scans comportementaux, c’est risquer gros. Attendez-vous à un « Clawbleed » en 2025 si rien ne bouge.
Le scan comportemental, la solution qu’il faut à OpenClaw ?
Les outils actuels comme ClawSec ou ClawDefender ? Ils vérifient les checksums, chassent les CVE. Inutiles face à un skill nickel qui ordonne un dump de clés SSH.
clawhub-bridge comble le vide. Détection par motifs comportementaux — ce que le skill ordonne, pas comment il est codé. Installez-le : pip install git+https://github.com/claude-go/clawhub-bridge.git.
Le marché bouge vite. OpenClaw explose — 46 000 skills, c’est du concret. Mais la confiance s’effrite à chaque flag d’exfil. Les devs ne déploieront pas des agents chainant du Markdown non vérifié si 1 sur 7 pue le danger.
La curation ? Un pansement. Le déluge d’homoglyphes dans l’archive complète le prouve. Les écosystèmes vivent de la masse, meurent de l’insécurité. OpenClaw est au carrefour : int
