Logiciel Malveillant Découvert dans les Compétences Communautaires OpenClaw — Alerte au Vol de Cryptomonnaie

Un scandale majeur a frappé Reddit : des scripts malveillants volant des cryptomonnaies ont été découverts dans le référentiel de compétences communautaires Clawdbot/OpenClaw. Le post sur r/webdev a reçu 2 784 votes positifs.

Ce qui s'est passé

• Des compétences malveillantes trouvées dans le référentiel officiel de compétences communautaires
• Scripts conçus pour voler des cryptomonnaies
• Le créateur du projet était au courant du problème mais "ne savait pas quoi faire"

Analyse détaillée

https://opensourcemalware.com/blog/clawdbot-skills-ganked-your-crypto

Réaction de la communauté

r/webdev (2 784 votes positifs) :

• Critique de l'approche du "codage à l'ambiance"
• Discussion sur la responsabilité des mainteneurs
• Questions sur la sécurité des agents IA

r/theprimeagen (970 votes positifs) :

• "Codeur Senior à l'Ambiance gérant la sécurité"

r/ProgrammerHumor (1 360 votes positifs) :

• "seniorVibeCoderDealingWithVulnerabilityAsAService"

Le problème fondamental

Les agents IA ont accès à :

• Système de fichiers
• Réseau
• Clés API
• Potentiellement des portefeuilles de cryptomonnaie

Une compétence malveillante peut :

• Lire des clés privées
• Envoyer des données à des serveurs externes
• Exécuter du code arbitraire

Leçons pour les utilisateurs

1. Auditez chaque compétence avant l'installation
2. Isolation de l'environnement — jamais sur la machine principale
3. Aucune clé de cryptomonnaie sur la machine avec l'agent
4. Surveillance du réseau
5. Revue de code des contributions communautaires

Réponse des développeurs

Après le scandale :

• Modération améliorée du référentiel
• Exigences de revue de code
• Avertissements dans la documentation

---

La sécurité est la responsabilité de chacun.