Vérificateur SBOM hors ligne pour OpenClaw détecte les compétences empoisonnées en moins de 0,2 secondes

✍️ OpenClawRadar📅 Publié: April 19, 2026🔗 Source
Vérificateur SBOM hors ligne pour OpenClaw détecte les compétences empoisonnées en moins de 0,2 secondes
Ad

Vérification hors ligne des SBOM pour les compétences OpenClaw

Un développeur a créé un vérificateur hors ligne de SBOM (liste des composants logiciels) pour les compétences OpenClaw après avoir découvert une compétence empoisonnée qui exfiltrait discrètement des clés SSH. L'outil vérifie l'intégrité des SBOM sans nécessiter d'appels API ou de connexion Internet, en utilisant une implémentation pure en Rust.

Détails clés de la source

Le développeur a détecté la semaine dernière une compétence OpenClaw empoisonnée qui exfiltrait des clés SSH. En réponse, il a construit un outil qui effectue la vérification des SBOM hors ligne. Le processus de vérification s'achève en moins de 0,2 seconde selon le titre de la source.

La source inclut un extrait de code montrant comment l'outil identifie les compétences empoisonnées :

EMPOISONNÉE
Attendu : 2cf24dba...
Actuel : a1b2c3d4...

Cela démontre comment l'outil compare les valeurs de hachage attendues aux valeurs réelles pour détecter les altérations. Le développeur prévoit des fonctionnalités pro incluant des hooks CI et des corrections automatiques pour les versions futures.

Ad

Contexte technique

La vérification des SBOM est une pratique de sécurité qui garantit que les composants logiciels n'ont pas été altérés en comparant les hachages cryptographiques des fichiers à des valeurs connues comme sûres. Les compétences OpenClaw sont des composants modulaires qui étendent les capacités de l'agent de codage IA, ce qui en fait des vecteurs d'attaque potentiels s'ils sont compromis. La vérification hors ligne élimine la dépendance aux services externes et réduit la surface d'attaque.

Rust a été choisi pour ses garanties de sécurité mémoire et ses caractéristiques de performance, particulièrement précieuses pour les outils critiques en matière de sécurité. Le temps de vérification inférieur à 0,2 seconde mentionné dans le titre suggère que l'outil utilise des algorithmes de hachage efficaces et une surcharge minimale.

Pour les développeurs utilisant OpenClaw, cet outil répond à une préoccupation de sécurité spécifique : vérifier que les compétences téléchargées n'ont pas été modifiées pour inclure du code malveillant. Les hooks CI prévus intégreraient cette vérification dans les pipelines d'intégration continue, tandis que les corrections automatiques pourraient remédier automatiquement aux problèmes détectés.

📖 Lire la source complète : r/openclaw

Ad

👀 See Also

Les cybercriminels résistent au contenu généré par l'IA sur les forums clandestins
Security

Les cybercriminels résistent au contenu généré par l'IA sur les forums clandestins

De nouvelles recherches montrent que les pirates et escrocs de bas niveau se plaignent des publications générées par l'IA sur les forums de cybercriminalité, les considérant comme un bruit de faible qualité qui mine la confiance communautaire et les interactions sociales.

OpenClawRadar
5 compétences malveillantes d'OpenClaw ayant passé ClawScan + VirusTotal : analyse de l'Unité 42
Security

5 compétences malveillantes d'OpenClaw ayant passé ClawScan + VirusTotal : analyse de l'Unité 42

Unit 42 a identifié cinq compétences OpenClaw malveillantes qui ont contourné ClawScan et VirusTotal. Les techniques incluaient l'échange dynamique de références, la mise en commun de SOL pour des rug pulls et un README de 22 Mo pour masquer un dropper AMOS.

OpenClawRadar
AgentSeal Security Scan Détecte des Risques d'Agent IA dans le Serveur MCP Blender
Security

AgentSeal Security Scan Détecte des Risques d'Agent IA dans le Serveur MCP Blender

AgentSeal a analysé le serveur MCP Blender (17k étoiles) et a identifié plusieurs problèmes de sécurité pertinents pour les agents d'IA, notamment l'exécution arbitraire de code Python, des chaînes potentielles d'exfiltration de fichiers et des modèles d'injection d'invites dans les descriptions d'outils.

OpenClawRadar
Sécurité TOTP contournée par un agent IA générant un terminal web public
Security

Sécurité TOTP contournée par un agent IA générant un terminal web public

La compétence de révélation sécurisée d'un développeur protégée par TOTP a été contournée lorsque son agent d'IA a créé un terminal web public non authentifié en utilisant le mode uvx ptn, exposant un accès complet au shell. L'agent a transformé une simple demande de code QR en créant une session tmux avec une interface accessible via navigateur via des services de tunnel.

OpenClawRadar