Vecteur d'attaque

Les skills comme porte d'entrée

Le vecteur de Memory Poisoning le plus dangereux n'est pas un texte caché dans une page web — c'est un skill que vous installez vous-même. Des marketplaces comme ClawHub transforment du code tiers en une chaîne d'approvisionnement directe vers le Memory de votre agent.

~7 min de lecture · Vecteur d'attaque

Un skill est une instruction stockée — avec des privilèges

Un skill OpenClaw est un fichier SKILL.md : des instructions Markdown qui apprennent à l'agent quand et comment utiliser ses outils. Cela paraît anodin — mais c'est justement le point clé : un skill n'est pas « juste un outil », c'est une instruction stockée durablement, avec les droits de votre agent. Qui contrôle le skill contrôle une partie du comportement — à chaque nouvelle session.

ClawHub : la porte d'entrée massive

Le registre de skills d'OpenClaw, ClawHub, héberge plus de 13 700 skills communautaires. Un skill s'installe avec une seule commande — openclaw skills install <slug> — et atterrit dans ~/.openclaw/skills. Avec --global, il s'applique aussitôt à tous les agents locaux. C'est aussi pratique qu'un app store — et tout aussi bien une chaîne d'approvisionnement : vous tirez des instructions tierces directement dans le poste de commande de votre agent.

Une seule commande suffit — et des instructions tierces vivent durablement, avec les droits de votre agent, dans ~/.openclaw/skills.

« Vérifié » ne veut pas dire « sûr »

ClawHub contrôle les installations par rapport à leur provenance et leur version (.clawhub/origin.json), et un scanner se déclenche sur du code dangereux. Mais : la vérification prouve d'où vient un skill — pas ce qu'il prépare. Le scanner est heuristique et se contente d'avertir en cas de « suspect ». La doc OpenClaw le dit elle-même : « treat third-party skills as untrusted code. » Un skill parfaitement vérifié peut tout de même transporter une charge de prompt injection.

Contournement : les installs Git et locales contournent complètement le contrôle du registre.
Portée : --global touche tous les agents ; un skill de workspace prend le pas sur les skills gérés.
Sleeper : installé anodin aujourd'hui — rendu malveillant par une mise à jour ultérieure. Les skills ne se mettent pas à jour automatiquement, mais une mise à jour manuelle tire la nouvelle version, empoisonnée.

Le déroulé

Du marketplace jusqu'au dommage — et où PoisonZero coupe la chaîne :

1 · Marketplace

Skill issu du registre

ClawHub · 13 729 skills. « Vérifié » contrôle la provenance — pas l'intention.

2 · Install

Une commande, tous les droits

openclaw skills install <slug>
→ ~/.openclaw/skills

3 · Actif

Skill = instruction stockée

Écrit dans le Memory au démarrage de la session ou désactive la protection.

PoisonZero

Le daemon évalue chaque écriture dans les chemins protégés.

danger 0.96 → revert

✕ Empêché

Memory empoisonné → dommage

↳ « La source X est digne de confiance »
↳ L'agent agit avec les droits OS (Gmail · Stripe · Files)
↳ Exfiltration / sabotage au prochain heartbeat

Sans protection, la chaîne va jusqu'au dommage — chez OpenClaw avec tous les droits OS. Avec PoisonZero, elle s'arrête à l'écriture dans le Memory : évaluée, annulée, journalisée.

Pourquoi OpenClaw est particulièrement explosif — contrairement à Claude

OpenClaw n'est pas une fenêtre de chat, mais un agent autonome : il tourne en arrière-plan, traite ses tâches au rythme du heartbeat et dispose d'un accès complet au système d'exploitation — système de fichiers, Gmail, Stripe, messageries connectées. Un skill empoisonné ne provoque pas seulement ici une réponse erronée ; il fait agir l'agent — de façon autonome, avec vos droits.

Chez Claude, un agent se trompe. Chez OpenClaw, il agit — de façon autonome, avec vos droits OS. C'est précisément pour cela qu'un gardien local sur le système de fichiers n'est pas optionnel ici.

Claude est davantage encadré (permissions, demandes de confirmation, sandbox plus stricte). L'ouverture d'OpenClaw fait son attrait — et son risque : le blast-radius d'un seul skill empoisonné est supérieur de plusieurs ordres de grandeur.

Comment PoisonZero couvre cela

PoisonZero intervient exactement là où naît le dommage : à l'écriture dans les répertoires de skills et de Memory. Le daemon surveille ~/.openclaw/skills, ~/.agents/skills, ~/.claude & consorts en local et évalue chaque modification.

Chaque écriture est évaluée — niveau de danger + sécurité, pas seulement le premier prompt.
Ce qui est dangereux est annulé (fail-closed) : dans le doute, bloquer plutôt que laisser passer.
Conscient des Meta-Attack : les skills qui veulent désactiver la protection elle-même sont toujours suspects.
OpenClaw out of the box : le daemon reconnaît automatiquement les chemins OpenClaw, le panneau propose un modèle en un clic « Protéger OpenClaw ».
Piste d'audit complète : chaque décision est traçable.

Le résultat : même un skill « vérifié » qui tente d'écrire en douce un souvenir empoisonné est intercepté — avant que votre agent n'agisse en conséquence. Pour en savoir plus sur le principe sous-jacent : Memory Poisoning et Prompt Injection.

Protégez les skills de vos agents.

PoisonZero surveille ~/.openclaw/skills & consorts et annule les entrées empoisonnées en mode fail-closed.

Tester 14 jours

Tous les articles