Scanner de sécurité des compétences OpenClaw : 7,6 % des 31 371 compétences signalées comme dangereuses

✍️ OpenClawRadar📅 Publié: March 24, 2026🔗 Source
Scanner de sécurité des compétences OpenClaw : 7,6 % des 31 371 compétences signalées comme dangereuses
Ad

Un développeur a créé un outil d'analyse automatisé qui examine l'intégralité du registre de compétences ClawHub pour détecter les risques de sécurité. L'outil effectue une analyse statique sur chaque fichier SKILL.md et sur les scripts regroupés, en vérifiant la présence de motifs malveillants, d'injections de prompt, d'exfiltration de données, d'abus de permissions et de code obfusqué.

Principales Constatations

L'analyse des 31 371 compétences a révélé :

  • 2 371 compétences signalées comme dangereuses (environ 7,6 %)
  • Score de confiance moyen sur l'ensemble du registre : 93,2 sur 100
  • Les motifs dangereux identifiés incluent des voleurs de portefeuille, des vols d'identifiants, l'exfiltration de variables d'environnement, des commandes curl redirigées vers bash, et des injections de prompt

Fonctionnement

Le scanner utilise la recherche de motifs par rapport à des signatures d'attaque connues issues des rapports ClawHavoc et Cisco. Il réanalyse l'intégralité du registre toutes les 6 heures. Le développeur note qu'il existe des faux positifs, notamment avec les compétences légitimes de portefeuille qui interagissent avec des portefeuilles, mais l'outil détecte les menaces évidentes qui pourraient échapper à une revue manuelle.

Ad

Comment l'Utiliser

Vérifiez une compétence spécifique via l'API :

curl -s checksafe.dev/api/v1/skills/SKILL-NAME-HERE/badge.json

Pour une vérification automatique avant chaque installation, utilisez la compétence OpenClaw :

clawhub install agora-sentinel

Accédez à la base de données complète sur checksafe.dev/dashboard/ et consultez les compétences les plus dangereuses triées par gravité sur checksafe.dev/dashboard/dangerous.

Notes Importantes

L'outil se limite à l'analyse statique et ne peut pas tout détecter. Des faux positifs existent, notamment avec les outils légitimes de portefeuille. Le développeur n'est pas affilié à OpenClaw ou ClawHub - il s'agit d'un projet personnel, pas d'une entreprise. L'API est publique et ne nécessite aucune authentification, et les badges sont intégrables.

📖 Read the full source: r/openclaw

Ad

👀 See Also

Sécurité Slack OpenClaw : Risques d'exposition des clés API et correctifs
Security

Sécurité Slack OpenClaw : Risques d'exposition des clés API et correctifs

Les déploiements OpenClaw sur Slack peuvent exposer des clés API via des messages d'erreur dans les canaux, avec plus de 8 000 instances trouvées exposées dans un rapport Bitsight. La source détaille trois vulnérabilités spécifiques et propose des correctifs pratiques incluant des modifications de prompts système et une migration vers SlackClaw.

OpenClawRadar
Vulnérabilité RCE critique dans la bibliothèque protobuf.js
Security

Vulnérabilité RCE critique dans la bibliothèque protobuf.js

Une vulnérabilité critique d'exécution de code à distance dans les versions 8.0.0/7.5.4 et inférieures de protobuf.js permet l'exécution de code JavaScript via des schémas malveillants. Des correctifs sont disponibles dans les versions 8.0.1 et 7.5.5.

OpenClawRadar
Données de menace provenant de 91 000 interactions d'agents IA : abus d'outils en hausse de 6,4 %, nouvelles attaques multimodales.
Security

Données de menace provenant de 91 000 interactions d'agents IA : abus d'outils en hausse de 6,4 %, nouvelles attaques multimodales.

L'analyse de 91 284 interactions d'agents IA de février 2026 montre que les abus d'outils/commandes ont augmenté de 6,4 % pour atteindre 14,5 %, avec l'escalade de chaînes d'outils comme modèle dominant. L'empoisonnement RAG s'est déplacé vers les attaques de métadonnées (12,0 %), et l'injection multimodale via images/PDF est apparue à 2,3 %.

OpenClawRadar
FORGE : Cadre de test de sécurité IA open source pour les systèmes LLM
Security

FORGE : Cadre de test de sécurité IA open source pour les systèmes LLM

FORGE est un cadre de test de sécurité IA autonome qui construit ses propres outils en cours d'exécution, se réplique en essaim et couvre les vulnérabilités OWASP LLM Top 10, y compris l'injection de prompt, le fuzzing de jailbreak et la fuite RAG.

OpenClawRadar