ClawHavoc : anatomie d'une attaque sur un marketplace de skills
En février 2026, ClawHub a montré comment un marketplace de skills d'agents devient une arme : des chercheurs en sécurité ont découvert plus de mille skills malveillants — déguisés, typosquattés, avec vol d'identifiants et prise de contrôle à distance.
Ce qui s'est passé
Lors d'un audit des quelque 14 000 skills publiquement listés sur ClawHub, des chercheurs en ont trouvé 1 184 malveillants — un taux d'infection de près de 8,5 %. 335 d'entre eux appartenaient à une seule opération coordonnée nommée ClawHavoc. Les cibles étaient des machines macOS et Windows, en particulier les postes always-on (comme les Mac mini) sur lesquels OpenClaw tourne en permanence comme hôte d'agent.
Les techniques
Typosquatting : de nombreux skills imitaient des noms légitimes — clawhubb, cllawhub, clawhubcli — pour capter les installations accidentelles d'utilisateurs qui parcourent rapidement le marketplace.
Camouflage : d'autres se faisaient passer pour des outils recherchés — wallets crypto, bots de trading Polymarket, utilitaires YouTube, auto-updaters, intégrations Google Workspace.
Ce que faisaient les skills
- Vol d'identifiants : les skills exfiltraient les identifiants du bot OpenClaw depuis les fichiers de configuration vers des services webhook externes.
- Exécution de code à distance : commandes cachées pour un contrôle total du système.
- Persistance : les fichiers de skill dans
~/.openclaw/skillsy restent — et sont relus à chaque démarrage de session.
Pourquoi « vérifié » ne suffisait pas
Un marketplace vérifie l'origine et la version — pas l'intention. Un typosquat est un upload tout à fait « légitime ». C'est exactement la faille décrite dans Les skills comme porte d'entrée : la vérification n'est pas de la sécurité.
Comment PoisonZero arrête cela
PoisonZero intervient un niveau plus bas que le marketplace — à l'écriture. Le daemon surveille ~/.openclaw/skills et les fichiers de configuration en local :
- Chaque écriture est évaluée — y compris celle d'un skill « vérifié ».
- Si un skill déguisé tente d'exfiltrer des identifiants ou d'écrire un souvenir empoisonné, l'accès est bloqué et annulé en mode fail-closed.
- Les Meta-Attack (skills qui veulent désactiver la protection) sont détectées séparément ; tout finit dans la piste d'audit.
Pour en savoir plus sur le mécanisme : Memory Poisoning et les vers de la supply chain.
Protégez vos skills OpenClaw.
PoisonZero évalue chaque écriture dans ~/.openclaw/skills — et arrête les skills déguisés en mode fail-closed.
Tester 14 joursÀ lire aussi : Les skills comme porte d'entrée · Les vers de la supply chain · Qu'est-ce que le Memory Poisoning ?