Palo Alto Networks a trouvé cinq compétences malveillantes pour l'agent AI OpenClaw sur la plateforme ClawHub

L'équipe Unit 42 de Palo Alto Networks a identifié cinq compétences malveillantes sur la plateforme ClawHub — le marketplace officiel de l'agent d'IA OpenClaw. En utilisant ces compétences, les attaquants infectaient les appareils des utilisateurs avec des stealers — des malwares spécialisés dans le vol de mots de passe, de tokens de session et de données de portefeuilles de cryptomonnaies.

Qu'est-ce que OpenClaw et ClawHub

OpenClaw est un agent d'IA avec un écosystème ouvert de compléments : les développeurs créent des compétences — des composants modulaires qui étendent la fonctionnalité de l'agent — et les publient sur ClawHub pour un accès public. En principe, cela ressemble à Chrome Web Store ou aux magasins de plugins pour IDE : vous sélectionnez l'outil nécessaire, l'installez d'un clic et l'utilisez. C'est exactement ce modèle qui s'est avéré vulnérable.

Les utilisateurs s'appuyant sur le marketplace officiel ne révisent généralement pas manuellement le code de chaque compétence — ils s'attendent à ce que la plateforme ait déjà vérifié les composants publiés. Les attaquants ont exploité précisément cette confiance. ClawHub se positionne comme un catalogue sécurisé d'extensions vérifiées — ce qui rend ce qui s'est produit particulièrement inquiétant pour toute l'audience de l'agent.

Comment l'attaque a fonctionné

Cinq compétences malveillantes apparaissaient extérieurement comme des outils de productivité ordinaires. Dans leurs descriptions sur ClawHub, elles imitaient des utilitaires pour l'automatisation des tâches, la gestion de fichiers et l'intégration avec des services externes — un ensemble typique pour ceux qui souhaitent étendre les capacités de l'agent. Après l'installation, la compétence activait du code caché qui s'exécutait en parallèle avec les fonctions standard. L'analyse d'Unit 42 a documenté les capacités suivantes du stealer :

• vol de mots de passe enregistrés dans les navigateurs (Chrome, Firefox, Edge)
• extraction de données de portefeuilles de cryptomonnaies et de phrases-graines
• interception de cookies et de tokens de session actifs
• collecte de données de formulaires de remplissage automatique
• transmission de toutes les informations collectées aux serveurs des attaquants

Le malware se déguisait en processus d'arrière-plan standard de l'agent — c'est pourquoi les outils antivirus conventionnels avaient du mal à le détecter. Sans analyse comportementale spécialisée, un utilisateur aurait pu ne pas remarquer l'infection pendant des semaines.

Palo Alto Networks n'a pas divulgué les noms des compétences compromises, mais a confirmé : les cinq ont été téléchargées via l'interface officielle de ClawHub.

Un nouveau vecteur de menace

La plupart des discussions sur la sécurité des systèmes d'IA se concentrent sur les vulnérabilités des modèles eux-mêmes — jailbreaks, injections de prompt, contournement de filtres de contenu. Une attaque via l'écosystème de compétences est fondamentalement différente : par nature, elle est plus proche d'une attaque de la chaîne d'approvisionnement sur une pile logicielle que de la manipulation du LLM. Les marketplaces d'extensions pour agents d'IA connaissent une croissance rapide avec des mécanismes de sécurité immatures — tout comme les magasins de plugins de navigateur au début des années 2010 ou le registre npm avant les premiers incidents de grande envergure avec des paquets malveillants.

Les attaquants savent comment trouver exactement ces fenêtres de vulnérabilité et les exploiter avant que l'industrie ne puisse développer des normes de protection.

"Les utilisateurs ont l'habitude de faire confiance aux magasins d'extensions officiels.

Les attaquants exploitent directement cette confiance", — notent les analystes d'Unit 42.

Le fait que les compétences malveillantes aient réussi le téléchargement sur ClawHub indique soit l'absence de vérification automatique du code, soit son contournement réussi. Cela soulève pour l'ensemble de l'industrie la question des normes de vérification pour les composants d'agents d'IA.

Ce que cela signifie

À mesure que la popularité des écosystèmes ouverts de compétences d'IA croît, la sécurité de leurs marketplaces devient une tâche critique — au même titre que la sécurité des registres de paquets en programmation traditionnelle. Les menaces pour les systèmes d'IA sont de moins en moins liées aux modèles eux-mêmes et de plus en plus liées à leur environnement : plugins, intégrations, écosystèmes. Il est recommandé aux utilisateurs d'OpenClaw de vérifier la liste des extensions installées et de supprimer tout ce dont l'origine ou le comportement suscite des préoccupations.