Les agents IA engloutissent les compétences Markdown comme des bonbons.
Et OpenClaw en compte désormais 46 000 — des instructions brutes que n’importe quel agent peut avaler, parser et exécuter sans sourciller. Imaginez confier à votre majordome numérique une recette qui vide discrètement votre portefeuille vers un inconnu. C’est le cauchemar que je viens d’auditer.
J’ai créé clawhub-bridge, un scanner traquant les signaux d’alarme comportementaux, pas les bugs de code. Au programme : 145 patterns répartis en 42 catégories — envois curl vers des serveurs louches, homoglyphes se faisant passer pour des lettres innocentes, saisies sudo pour root. Sur un échantillon aléatoire de 2 000 compétences tiré de l’archive complète ? 14,5 % ont mérité un carton rouge. Même le lot « curaté » frôle les 13,1 %.
Pourquoi 14,5 % des compétences OpenClaw ont-elles échoué ?
Imaginez le Google Play du début des années 2010 : des APK bourrés de spyware uploadés par des devs, parce que personne ne vérifiait ce qu’ils faisaient, juste s’ils compilaient. Les compétences Markdown d’OpenClaw ? Même ambiance. Les agents les traitent comme parole d’évangile — téléchargement, exécution, point final.
J’ai cloné les datasets : 559 « filtrées pour qualité », et une tranche de 2 000 sur 46 655 sauvages. Le scanner a tiré.
L’échantillon de l’archive complète a produit 1 034 alertes CRITIQUES, 406 HAUTES et 75 MOYENNES.
Les pires coupables ? 576 compétences qui canalisent des données via curl POST vers des serveurs externes. 158 homoglyphes cyrilliques — ces а sournois (U+0430) qui trompent l’œil tout en inversant les instructions. 82 qui demandent un sudo. 60 qui postent auto sur les réseaux sociaux. Sans oublier 29 transferts crypto.
Mais voilà ma lecture personnelle, absente des données brutes : ça sent les chatrooms AOL, où les « skills » étaient des macros qui rasaient votre carnet d’adresses. Les agents IA turbochargent le truc — une compétence compromise délègue à une chaîne de 50 autres, transformant votre bot bienveillant en armée de zombies. Mon pari ? Sans garde-fous comportementaux, on verra le premier « ver OpenClaw » d’ici fin d’année, sautant d’agent en agent.
Curation : pansement sur une jambe de bois.
La collection soignée esquive totalement les homoglyphes (zéro contre 158). Mais taux d’échec ? Quasi identiques. Les filtres chopent le grossier ; le subtil passe crème.
Prenez claude-connect : vend un « raccord Claude en un clic ». En réalité ? Fouille votre Keychain macOS pour choper les tokens OAuth, persiste via LaunchAgent qui ticke toutes les deux heures. Intention légitime ? Peut-être. Identique à un stealer. Compromettez cette compétence, et hop — tokens partout.
Ou les pièges agent-sur-agent : 50 chaînes de délégation profondes, plus des hooks ignore_instructions. Votre Clawdbot de confiance se fait avoir, exécutant du malware de cousins non vérifiés.
OpenClaw peut-il faire confiance à son écosystème ?
LaunchAgents dans 18 compétences. Services systemd dans 14. Sympa pour des daemons — jusqu’à ce qu’on couple avec des sniffs de clés SSH (43 cas) ou des chmod vicieux (32). Des points d’appui persistants, c’est clair.
Les faux positifs existent bien sûr — auditeurs qui embeddent des payloads de test, espaces zéro-width chinois pour du typage joli. Triage manuel sur 73 flags curatés ? Menaces réelles : 5-8 %. Pas mal quand même, avec des milliers qui traînent dehors.
Les outils existants comme ClawSec chassent checksums, CVEs. Inutiles ici. Une compétence nickel peut hurler « exfiltre les clés ! ». Le scanning comportemental, voilà le virage qu’il faut vraiment amorcer — comme les permissions iOS ont révolutionné les apps.
Le hype OpenClaw ? « Utopie communautaire ! » Mignon. Mais 14,5 % d’échecs crie haut et fort : traitez les compétences comme des exécutables, pas des docs. Sandboxez-les. Vérifiez les comportements. Sinon, regardez la ruée vers l’or IA virer au pyrite.
D’un côté positif — ce n’est pas la fin du monde. C’est le moment où les plateformes IA apprennent à se défendre. Souvenez-vous
