De la magie au malware : comment la fonctionnalité Agent d’OpenClaw est devenue un vecteur de diffusion de malwares

 (1password.com)
15 points par princox 2026-02-11 | Aucun commentaire pour le moment. | Partager sur WhatsApp

J’ai légèrement modifié le titre. Le titre anglais exact serait plutôt : « De la magie au malware : comment les skills d’agent d’OpenClaw deviennent une surface d’attaque ».

L’article date du 2 février 2026, et il me semble intéressant à lire, donc je le partage.

De la magie au malware : comment les skills d’agent d’OpenClaw deviennent une surface d’attaque

Introduction : pourquoi la puissance des agents devient aussi un risque

Il y a quelques jours, j’ai publié un billet expliquant pourquoi OpenClaw donne l’impression d’être un portail vers le futur, et pourquoi ce futur fait peur de manière très concrète.

En résumé : des passerelles d’agents comme OpenClaw sont puissantes parce qu’elles peuvent réellement accéder à vos fichiers, vos outils, votre navigateur, votre terminal, ainsi qu’aux fichiers de « mémoire » à long terme qui contiennent votre manière de penser et votre travail. Or, cette combinaison correspond exactement à ce que ciblent les infostealers modernes.

Cet article est la suite inconfortable, celle du « et cela a fini par arriver ».

Le problème n’est pas seulement qu’un agent puisse devenir dangereux une fois installé. L’écosystème lui-même, qui distribue les fonctionnalités des agents et les registres de skills, est déjà devenu une surface d’attaque.

⚠️ Avertissement : n’utilisez pas OpenClaw sur un appareil d’entreprise

Si vous expérimentez avec OpenClaw, ne le faites jamais sur un appareil d’entreprise. C’est non négociable.

Dans mon premier billet, j’ai décrit OpenClaw comme une sorte de pacte faustien. S’il est séduisant, c’est précisément parce qu’il a un accès réel à votre machine locale, à vos apps, à vos sessions de navigateur, à vos fichiers et à votre mémoire longue durée. Mais ce même niveau d’accès signifie qu’il n’existe pas encore de manière sûre de l’exécuter sur une machine qui détient des identifiants d’entreprise ou qui peut accéder à des systèmes de production.

Si vous avez déjà exécuté OpenClaw sur un appareil de travail, considérez cela comme un incident de sécurité potentiel et contactez immédiatement votre équipe sécurité. N’attendez pas l’apparition de symptômes. Arrêtez toute activité sur cette machine et suivez la procédure de réponse à incident de votre organisation.

Les skills ne sont que des fichiers Markdown, et c’est précisément le problème

Dans l’écosystème OpenClaw, un « skill » est généralement un fichier Markdown. C’est une page d’instructions qui apprend à l’agent comment accomplir une tâche spécialisée. En pratique, ce Markdown peut contenir des liens, des commandes à copier-coller, des recettes d’appel d’outils, etc.

Cela semble inoffensif jusqu’à ce qu’on se rappelle comment humains et agents consomment réellement la documentation :

  • « Voici les prérequis. »
  • « Exécutez cette commande. »
  • « Installez cette dépendance essentielle. »
  • « Collez ceci dans le terminal. »

Dans un écosystème d’agents, le Markdown n’est pas seulement du « contenu ». Le Markdown est un installeur.

Le malentendu dangereux : « le MCP rend les skills sûrs »

Certaines personnes supposent que la couche MCP (Model Context Protocol) rend tout cela plus sûr, parce que les outils sont exposés via une interface structurée et qu’un consentement explicite de l’utilisateur ainsi que des contrôles d’autorisation sont possibles selon l’implémentation de l’hôte et du serveur.

Mais les skills n’ont absolument pas besoin d’utiliser MCP.

La spécification des skills d’agent n’impose aucune restriction au contenu Markdown, et un skill peut inclure n’importe quelle instruction « aidant l’agent à accomplir une tâche ». Cela comprend des commandes shell à copier-coller. Et un skill peut aussi embarquer des scripts avec le Markdown, ce qui permet une exécution en dehors des frontières des outils MCP.

Autrement dit, si votre modèle de sécurité repose sur l’idée que « MCP contrôlera les appels d’outils », vous restez vulnérable à des skills malveillants qui contournent MCP via l’ingénierie sociale, des instructions shell directes ou du code embarqué. MCP peut faire partie d’un système sûr, mais ce n’est pas une garantie de sécurité en soi.

Autre point tout aussi important : ce n’est pas un problème propre à OpenClaw. Les « skills » deviennent de plus en plus portables à mesure que de nombreux agents adoptent le format ouvert Agent Skills. Dans ce format, un skill est un dossier centré sur un fichier SKILL.md, avec des métadonnées et des instructions en forme libre, pouvant aussi embarquer des scripts et d’autres ressources. La documentation d’OpenAI décrit la même structure de base (SKILL.md + scripts et assets optionnels). Cela signifie qu’un « skill » malveillant n’est pas seulement un problème OpenClaw, mais un mécanisme de distribution capable de se propager à tout écosystème d’agents prenant en charge le même standard.

Ce que j’ai trouvé : le skill le plus téléchargé servait à livrer un malware

En parcourant ClawHub (je ne mettrai pas le lien pour des raisons évidentes), j’ai constaté que le skill le plus téléchargé à ce moment-là était un skill « Twitter ». Il paraissait banal : description, usage prévu, aperçu… le genre de chose qu’on installerait sans réfléchir.

Mais la toute première chose que faisait ce skill était de présenter une « dépendance requise » appelée « openclaw-core », avec des étapes d’installation selon la plateforme. Ces étapes incluaient des liens pratiques qui ressemblaient à des liens de documentation ordinaires (« here », « this link »).

Mais ce n’étaient pas des liens légitimes.

Les deux pointaient vers une infrastructure malveillante. Le mécanisme était typique d’une diffusion en plusieurs étapes :

  1. L’aperçu du skill vous dit d’installer des prérequis.
  2. Les liens mènent à une page de staging conçue pour amener l’agent à exécuter une commande.
  3. Cette commande décode et exécute une charge utile obfusquée.
  4. La charge utile récupère un script de deuxième étape.
  5. Le script télécharge et exécute un binaire, en supprimant notamment l’attribut de quarantaine de macOS pour empêcher Gatekeeper, le système antimalware intégré à macOS, de l’analyser.

Je ne recollerai volontairement ici ni les commandes exactes ni les URL. Le mécanisme est malheureusement simple, et le répéter aiderait davantage les attaquants que les défenseurs. L’essentiel est que ce n’était pas juste un « lien suspect ». C’était une chaîne d’exécution complète déguisée en instructions d’installation.

Confirmation : un malware de type infostealer

J’ai téléchargé le binaire final de manière sécurisée et je l’ai soumis à VirusTotal.

Le résultat ne laissait aucune ambiguïté. Il a été identifié comme un malware macOS de type infostealer.

Ce n’est pas un malware qui se contente « d’infecter un ordinateur ». Il pille tout ce qui a de la valeur sur l’appareil :

  • sessions navigateur et cookies
  • identifiants enregistrés et données d’autoremplissage
  • tokens développeur et clés API
  • clés SSH
  • identifiants cloud
  • tout ce qui peut être transformé en compromission de compte

Si vous êtes le type de personne qui installe des skills d’agent, alors votre machine fait précisément partie des cibles qui valent la peine d’être pillées.

Ce n’était pas un incident isolé, mais une campagne organisée

Après avoir partagé cela en interne, l’ampleur est apparue à travers une couverture plus large. Il a été rapporté que des centaines de skills OpenClaw participaient à la distribution de malwares macOS via des instructions de type ClickFix.

Ce détail est important parce qu’il confirme la nature réelle du phénomène.

Ce n’est pas un upload malveillant ponctuel.

C’est une stratégie délibérée : utiliser les « skills » comme canal de distribution, et les « prérequis » comme emballage d’ingénierie sociale.

Quand ce qui est « utile » devient « hostile » dans le monde des agents

Cela fait des années que nous apprenons que les gestionnaires de paquets et les registres open source peuvent devenir des vecteurs d’attaque de la supply chain.

Les registres de skills d’agents en sont le chapitre suivant. Sauf qu’ici, le « paquet » est en réalité de la documentation.

Et cela rend la voie d’attaque encore plus fluide :

  • les gens ne s’attendent pas à ce qu’un fichier Markdown soit dangereux ;
  • les gens sont entraînés à suivre rapidement des étapes d’installation ;
  • les gens font confiance au label « le plus téléchargé » comme substitut de légitimité ;
  • dans l’écosystème des agents, la frontière entre lire des instructions et les exécuter s’effondre.

Même si l’agent ne peut pas exécuter directement des commandes shell, il peut quand même faire quelque chose de dangereux. Il peut normaliser un comportement risqué.

Il peut résumer avec assurance des prérequis malveillants comme s’il s’agissait d’« étapes d’installation standard ». Il peut vous pousser à coller un one-liner. Il peut réduire votre hésitation.

Et si votre agent peut exécuter des commandes locales, alors un skill malveillant n’est pas simplement un « mauvais contenu ». C’est de l’exécution de code à distance emballée dans une documentation serviable.

Ce qu’il faut faire dès maintenant

Si vous utilisez OpenClaw ou un registre de skills

Ne l’exécutez pas sur un appareil d’entreprise. Il n’existe pas de manière sûre de le faire. Si vous l’avez déjà fait, ou si vous avez exécuté des commandes « d’installation » issues d’un skill, contactez immédiatement votre équipe sécurité et traitez cela comme une compromission potentielle.

  • Arrêtez toute activité sensible sur cet appareil.
  • Remplacez d’abord les sessions et les secrets : sessions navigateur, tokens développeur, clés SSH, sessions de console cloud.
  • Vérifiez les historiques de connexion récents : e-mail, contrôle de source, cloud, CI/CD, consoles d’administration.

Si vous voulez malgré tout expérimenter, utilisez une machine isolée sans accès à l’entreprise et sans identifiants enregistrés.

Si vous exploitez un registre de skills

Vous exploitez un app store. Partez du principe qu’il sera abusé.

  • Scannez les commandes d’installation en one-liner, les charges utiles encodées, la suppression de quarantaine et les archives protégées par mot de passe.
  • Ajoutez une vérification de provenance et un système de réputation des éditeurs.
  • Introduisez des avertissements et des frictions autour des liens externes et des étapes d’installation.
  • Passez en revue les skills les mieux classés et retirez rapidement les skills malveillants.

Ici, le Markdown est une intention exécutable.

Si vous développez un framework d’agents

Partez du principe que les skills seront militarisés.

  • Bloquez par défaut l’exécution shell (default-deny).
  • Sandboxez l’accès au navigateur, au trousseau et aux magasins d’identifiants.
  • Rendez les permissions granulaires, limitées dans le temps et révocables.
  • Ajoutez de la friction à l’exécution de code ou de commandes à distance.
  • Journalisez de bout en bout la provenance et les comportements.

Concevoir pour l’avenir : la couche de confiance dont les agents ont besoin

C’est la démonstration la plus claire de ce que j’avançais dans mon précédent billet. Si OpenClaw est puissant, c’est parce qu’il réduit à néant la distance entre l’intention et l’exécution. C’est là que se trouve la magie. Mais cela implique aussi un risque considérable. Quand les fonctionnalités sont distribuées sous forme de skills et installées via de la documentation, le registre devient une supply chain, et le chemin d’installation le plus simple devient celui que les attaquants préfèrent.

La réponse n’est pas d’arrêter de construire des agents. La réponse est de construire autour des agents la couche de confiance qui manque aujourd’hui. Les skills ont besoin de preuves de provenance. L’exécution a besoin de médiation. Les permissions doivent être granulaires, révocables et appliquées en continu, au lieu d’être accordées une fois pour toutes. Si les agents agissent à notre place, alors les identifiants et les actions sensibles ne doivent pas pouvoir être « pris » par n’importe quel code qui s’exécute. Ils doivent être intermédiés, gouvernés et audités en temps réel.

C’est précisément pour cela qu’il nous faut la couche suivante. Dans un monde où les « skills » deviennent la supply chain, le seul futur sûr est celui où chaque agent possède sa propre identité, ne dispose que du minimum de privilèges nécessaires à l’instant T, et où cet accès est limité dans le temps, révocable et traçable.

À lire aussi

Aucun commentaire pour le moment.

Aucun commentaire pour le moment.