Logiciel malveillant découvert dans les compétences communautaires OpenClaw — Alerte au vol de cryptomonnaies

Logiciel Malveillant Découvert dans les Compétences Communautaires OpenClaw — Alerte au Vol de Cryptomonnaie
Un scandale majeur a frappé Reddit : des scripts malveillants volant des cryptomonnaies ont été découverts dans le référentiel de compétences communautaires Clawdbot/OpenClaw. Le post sur r/webdev a reçu 2 784 votes positifs.
Ce qui s'est passé
- Des compétences malveillantes trouvées dans le référentiel officiel de compétences communautaires
- Scripts conçus pour voler des cryptomonnaies
- Le créateur du projet était au courant du problème mais "ne savait pas quoi faire"
Analyse détaillée
https://opensourcemalware.com/blog/clawdbot-skills-ganked-your-crypto
Réaction de la communauté
r/webdev (2 784 votes positifs) :
- Critique de l'approche du "codage à l'ambiance"
- Discussion sur la responsabilité des mainteneurs
- Questions sur la sécurité des agents IA
r/theprimeagen (970 votes positifs) :
- "Codeur Senior à l'Ambiance gérant la sécurité"
r/ProgrammerHumor (1 360 votes positifs) :
- "seniorVibeCoderDealingWithVulnerabilityAsAService"
Le problème fondamental
Les agents IA ont accès à :
- Système de fichiers
- Réseau
- Clés API
- Potentiellement des portefeuilles de cryptomonnaie
Une compétence malveillante peut :
- Lire des clés privées
- Envoyer des données à des serveurs externes
- Exécuter du code arbitraire
Leçons pour les utilisateurs
- Auditez chaque compétence avant l'installation
- Isolation de l'environnement — jamais sur la machine principale
- Aucune clé de cryptomonnaie sur la machine avec l'agent
- Surveillance du réseau
- Revue de code des contributions communautaires
Réponse des développeurs
Après le scandale :
- Modération améliorée du référentiel
- Exigences de revue de code
- Avertissements dans la documentation
La sécurité est la responsabilité de chacun.
📖 Lisez la source complète : Reddit
👀 See Also

Fuites de numéros de téléphone réels par les chatbots IA : le problème d'exposition des données personnelles
Des chatbots comme Gemini, ChatGPT et Claude révèlent de vrais numéros de téléphone à cause des données personnelles dans leurs données d'entraînement. DeleteMe rapporte une augmentation de 400 % des demandes de confidentialité liées à l'IA en sept mois.

L'évaluation de l'AISI démontre les capacités cybernétiques de Claude Mythos Preview dans les CTF et les attaques multi-étapes.
L'Institut de Sécurité de l'IA a évalué la version préliminaire de Claude Mythos d'Anthropic, constatant qu'elle a réussi 73 % des défis de capture du drapeau de niveau expert et résolu une simulation d'attaque de réseau d'entreprise en 32 étapes dans 3 tentatives sur 10.

ClawGuard : Passerelle de Sécurité Open-Source pour la Protection des Identifiants de l'API OpenClaw
ClawGuard est une passerelle de sécurité qui se situe entre les agents d'IA et les API externes, utilisant des identifiants factices sur la machine de l'agent tout en stockant les jetons réels séparément. Il fournit une approbation Telegram pour les appels sensibles et conserve une piste d'audit des requêtes.

Google signale que le piratage assisté par IA a atteint une échelle industrielle en trois mois
Le groupe de renseignement sur les menaces de Google a découvert que des groupes criminels et étatiques utilisent des modèles d'IA commerciaux (Gemini, Claude, OpenAI) pour affiner et étendre leurs attaques. Un groupe a failli exploiter une faille zero-day pour une exploitation massive, et d'autres expérimentent avec l'agent OpenClaw non protégé.