Quand les « compétences » deviennent la chaîne d'approvisionnement : le signal d'alarme des logiciels malveillants sur la plateforme OpenClaw

Ces dernières années, l'expression « agent IA » a cessé d'être un simple argument marketing pour devenir un véritable outil de travail : un assistant capable de lire vos fichiers, d'ouvrir votre navigateur, d'exécuter des commandes et de coordonner des actions entre différents services. Du moins, c'est la promesse.

Le problème est queL'énergie possède un canal de distributionEt ce canal est de plus en plus souvent appelé uncompétence: un petit guide pratique à partager qui explique à un agent (et souvent à l'utilisateur) comment accomplir une tâche. C'est l'équivalent des applications pour agents — sauf que les « applications » sont fréquemment…Instructions Markdown.

Les rapports de cette semaine concernant les compétences malveillantes d'OpenClaw constituent un signal d'alarme précoce et très clair : nous sommes sur le point de revivre l'histoire des chaînes d'approvisionnement open source, mais avec une nuance importante : au lieu d'empoisonner une dépendance compilée, les attaquants peuvent empoisonner…documentationet utilisez l'utilité de l'agent comme lubrifiant.

Vous trouverez ci-dessous une explication pratique de ce qui s'est passé, pourquoi cela fonctionne si bien et ce que vous pouvez faire à ce sujet.

Que sont les compétences OpenClaw (et pourquoi elles sont importantes)

OpenClaw a popularisé un modèle d'extension simple : il suffit d'ajouter une « compétence » expliquant comment réaliser une tâche précise (publier sur les réseaux sociaux, nettoyer des dossiers, résumer un rapport, automatiser un flux de travail) pour que l'agent acquière une nouvelle capacité.

Dans l'écosystème plus large des « compétences d'agent », une compétence est généralement un dossier construit autour d'unCOMPÉTENCE.mdfichier. Ce fichier contient :

  • Métadonnées(nom / description)
  • Instructions(les étapes concrètes)
  • Facultatif :scriptset autres actifs groupés

Cela paraît anodin car cela ressemble à de la documentation. Or, c'est précisément ce que les gens suivent rapidement : la documentation, surtout lorsqu'elle se présente sous la forme d'une liste de prérequis ou d'un guide d'installation.

Les compétences sont soumises à une dynamique de « tout au gagnant » : on privilégie ce qui est populaire, ce qui est nouveau et ce qui semble permettre un gain de temps. De ce fait, une plateforme publique de compétences représente une cible de choix : en ciblant quelques compétences parmi les plus téléchargées, on peut atteindre un groupe restreint d’utilisateurs experts — développeurs, opérateurs et toute personne possédant des certifications précieuses sur son ordinateur.

L'astuce principale : Markdown n'est plus du « contenu », c'est un programme d'installation.

Les attaques traditionnelles contre la chaîne d'approvisionnement logicielle nécessitent souvent des investissements techniques : confusion des dépendances, typosquatting, scripts post-installation malveillants, maintien du contrôle sur le nom du paquet et contournement des scanners.

Un marché des compétences abaisse le niveau d'exigence.

Une compétence malveillante peut faire quelque chose d'aussi simple que ceci :

  1. Présentez un outil plausible (« compétence Twitter », « traqueur de cryptomonnaies », « assistant d'automatisation »).
  2. Ajoutez une section « Prérequis » avec une « dépendance requise ».
  3. Fournissez un lien pratique et une commande en une seule ligne.
  4. Comptez sur l'humain (ou l'agent) pour l'exécuter.

Ce n’est pas une nouvelle idée d’ingénierie sociale — elle est utilisée depuis des années — mais les flux de travail des agentsamplifieril:

  • Les agents résument la documentation avec assurance (« Exécutez simplement ceci pour installer la dépendance »).
  • Les agents réduisent les frictions en générant la commande pour vous.
  • Dans certaines configurations, les agents peuvent exécuter eux-mêmes des commandes shell.

À ce stade, la « documentation » devient une voie d'exécution à distance.

Que disent les rapports sur ce qui s'est passé dans l'écosystème OpenClaw ?

Plusieurs articles décrivent une campagne au cours de laquelle des attaquants ont téléchargé un grand nombre de compétences malveillantes sur la plateforme ClawHub et utilisé des « étapes de configuration » pour diffuser des logiciels malveillants de vol d'informations.

Selon Jason Meller de 1Password, une compétence très téléchargée comprenait des instructions qui dirigeaient les utilisateurs vers une chaîne de distribution par étapes : un lien vers une « dépendance », une commande obfusquée, puis une charge utile qui installait finalement un voleur d’informations conçu pour piller la machine à la recherche de secrets précieux.

CyberInsider, citant une étude de Koi Security, décrit un schéma similaire à grande échelle : des compétences trojanisées avec des « prérequis » demandant aux utilisateurs d’exécuter des scripts shell obfusqués ou de télécharger des archives protégées par mot de passe, aboutissant à des charges utiles telles que Atomic macOS Stealer (AMOS) — une famille de logiciels malveillants associée au vol d’identifiants et au ciblage de portefeuilles.

Que les chiffres exacts diffèrent d'un rapport à l'autre,formeest cohérent :

  • Compétences utilisées comme distribution
  • Les instructions relatives aux « prérequis » sont utilisées comme moyen de persuasion
  • Les voleurs d'informations sont utilisés comme objectif final

Cet objectif final est important : les voleurs d’informations modernes ne recherchent pas un seul mot de passe, mais une véritable chaîne de cybercriminels.jetons de session,profils de navigateur,Clés SSH,identifiants cloud, etportefeuilles cryptoAutrement dit : tout ce qui transforme un ordinateur portable compromis en une compromission plus générale.

Si vous vous êtes déjà dit : « Je ne me laisserais pas avoir », vous avez probablement raison lorsque vous êtes calme et sceptique.

Mais les flux de travail des agents changent le contexte :

  • La vitesse devient la norme.Vous faites appel à un agent parce que vous souhaitez avancer rapidement.
  • La charge cognitive est externalisée.L'agent transforme une page d'instructions confuse en une liste de contrôle fiable.
  • L'autorité est empruntée.Si l'agent dit « Il s'agit de la dépendance standard », cela donne une impression de fiabilité.

Autrement dit, l'agent n'a pas besoin d'être « trompé » au sens technique du terme. Il suffit qu'il soit présent lorsque vous êtes incité à prendre un risque. Cela suffit à influencer votre comportement.

Et si vousfaireSi l'agent est autorisé à exécuter directement des commandes, une compétence malveillante peut se transformer en « compromission mains libres ».

« Mais qu'en est-il du MCP ? N'est-ce pas censé rendre les outils plus sûrs ? »

Le protocole MCP (Model Context Protocol) représente une avancée majeure pour la structuration de l'accès aux outils. Il normalise la manière dont les hôtes exposent les outils, les ressources et les invites, et met l'accent sur le consentement et le contrôle de l'utilisateur.

Cependant, le MCP ne rend pas les « compétences » sûres comme par magie.

Pourquoi?

  • Les compétences peuvent permettre aux utilisateurs d'exécuter des commandes en dehors du périmètre du MCP.
  • Les compétences peuvent renvoyer vers des scripts ou des téléchargements qui n'accèdent jamais à MCP.
  • Toutes les compétences n'utilisent pas du tout le MCP.

MCP peut s'avérer utile lorsque l'hôte met en œuvre un système d'autorisation strict, des demandes de consentement claires, la journalisation et des valeurs par défaut sécurisées. Cependant, un mécanisme de distribution basé sur Markdown peut toujours le contourner par de simples techniques d'ingénierie sociale.

Il s'agit de la version « agent » de la sécurité de la chaîne d'approvisionnement (et nous avons déjà abordé ce sujet).

Le monde du logiciel a appris à ses dépens que :

  • Les registres populaires sont sujets à des abus.
  • Le typosquatting fonctionne.
  • « Installer cet utilitaire » est un point d'entrée courant.
  • Les victimes les plus précieuses sont celles qui construisent les choses.

Les plateformes de compétences associent ces enseignements à deux nouveaux accélérateurs :

  1. Le « paquet » peut être des instructions, pas du code — et les instructions sont plus difficiles à analyser de manière fiable.
  2. L'environnement d'exécution est riche en identifiants.C’est voulu : des navigateurs connectés à tout, des terminaux avec des clés SSH, des interfaces de ligne de commande cloud, des gestionnaires de mots de passe et des fichiers locaux.

En un sens, une plateforme de compétences est une boutique d'applications où les meilleures applications sont autorisées à indiquer : « Copiez-collez ceci dans le Terminal pour activer la fonctionnalité. » Ce problème ne se résout pas avec une simple case à cocher.

Défenses pratiques (pour les utilisateurs normaux)

Si vous expérimentez avec un agent disposant d'un accès local, vous devez le traiter comme un nouvel utilisateur du système d'exploitation doté de super-pouvoirs.

Voici le point de départ pragmatique :

  1. Utilisez une machine dédiée ou une machine virtuellePour les tests d'agents. Aucun identifiant d'entreprise enregistré. Aucune clé SSH de production. Aucune session d'administration cloud.
  2. Répondre « non » par défaut aux programmes d'installation en une seule ligne.En particulier tout ce qui redirige curl vers sh, utilise base64 ou vous demande de supprimer les protections du système d'exploitation.
  3. Ne vous fiez pas aux « téléchargements les plus populaires ».La popularité est un levier de croissance, pas un modèle de sécurité.
  4. Si vous avez déjà exécuté une commande, commencez par faire pivoter ce qui est important.Sessions de navigateur, clés SSH, jetons API, clés cloud.
  5. Privilégiez les compétences dont le code source est contrôlé et révisable.(Dépôts Git avec historique, responsables connus, provenance claire).

Ce que les places de marché devraient faire (si elles veulent survivre)

Si vous gérez un registre public de compétences, vous exposez votre entreprise à des attaques.

Quelques mesures pratiques permettant d'augmenter sensiblement le coût pour l'attaquant :

  • Réputation et provenance de l'éditeur(identités vérifiées, historique, signature).
  • Numérisation automatiséepour les schémas suspects (charges utiles encodées, lignes de commande obfusquées, suppression de la quarantaine, archives protégées par mot de passe, « installer une dépendance principale » avec des liens externes).
  • Avertissement concernant les frictions de l'interface utilisateurpour les liens externes et les commandes shell.
  • Intervention rapide et réponse visible aux incidents(Considérez-le comme une boutique d'applications, et non comme un service de partage de texte).

Aucune de ces solutions n'est parfaite, mais elles permettent de gagner du temps — et c'est précisément le temps dont les défenseurs ont besoin.

Ce que les créateurs d'agents doivent prendre en compte pour l'avenir

Si vous développez vous-même l'environnement d'exécution de l'agent, partez du principe que les compétences seront utilisées comme armes.

Cela signifie :

  • Exécution de la commande de refus par défaut(nécessite un consentement pour chaque commande, et non des options à bascule permanentes).
  • bac à sable robustepour l'accès au système de fichiers et au navigateur.
  • autorisations limitées dans le temps et circonscritesavec révocation facile.
  • Journaux auditablesde ce que l'agent a lu et de ce qu'il a exécuté.

L'objectif final est le même que celui du cloud il y a des années : identité, politique, moindre privilège et pistes d'audit, mais transposées au niveau du poste de travail.

En résumé

L'affaire OpenClaw ne se résume pas à « quelques personnes qui ont téléchargé un logiciel malveillant ». C'est un aperçu du prochain champ de bataille de la chaîne d'approvisionnement :Les compétences comme vecteur de distribution, le Markdown comme voie d'exécution et les agents comme accélérateur.

Si les agents doivent résider sur nos machines personnelles et professionnelles, l'écosystème a besoin d'une couche de confiance qui traite les plateformes de compétences comme des boutiques d'applications, la documentation comme du code et « l'automatisation utile » comme une opération privilégiée, et non comme une simple commodité.


Sources

Document Title
When ‘skills’ become the supply chain: the OpenClaw marketplace malware wake‑up call
Malicious AI-agent ‘skills’ are turning documentation into a distribution channel for infostealers. Here’s how it works — and how to defend against it.
Title Attribute
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
Ikea’s bargain Matter-over-Thread devices are stumbling at the hardest step: getting connected
Should AI chatbots have ads? What Anthropic’s ‘no ads’ stance really means
Page Content
When ‘skills’ become the supply chain: the OpenClaw marketplace malware wake‑up call
Nature
Climate
/
General
/ By
Admin
In the last couple of years, “AI agent” stopped being a marketing phrase and started being a real workflow: an assistant that can read your files, open your browser, run commands, and stitch together actions across services. That’s the promise.
The problem is that
power has a distribution channel
. And that channel is increasingly called a
skill
: a small, shareable “how-to” package that teaches an agent (and often the user) how to accomplish a task. It’s the app store moment for agents — except the “apps” are frequently
markdown instructions
.
This week’s reports about malicious OpenClaw skills are an early, very loud signal that we’re about to repeat open-source supply‑chain history — but with a twist: instead of poisoning a compiled dependency, attackers can poison
documentation
and use the agent’s helpfulness as the lubricant.
Below is a practical explainer of what happened, why it works so well, and what you can do about it.
What OpenClaw skills are (and why they matter)
OpenClaw popularized a simple extension model: drop in a “skill” that explains how to do a narrow task — post on social media, clean folders, summarize a report, automate a workflow — and the agent gains a new capability.
In the broader “agent skills” ecosystem, a skill is typically a folder built around a
SKILL.md
file. That file contains:
Metadata
(name / description)
Instructions
(the actual steps)
Optionally:
scripts
and other bundled assets
That sounds benign because it looks like documentation. But documentation is exactly what people follow quickly, especially when it looks like a prerequisite list or installation guide.
Skills also have a “winner takes all” dynamic: people gravitate to what’s popular, what’s new, and what looks like it will save time. That makes a public skills marketplace a high-value target: compromise a few top downloads, and you can reach a concentrated set of power users — developers, operators, and anyone who has valuable credentials sitting on their machine.
The core trick: markdown isn’t “content” anymore — it’s an installer
Traditional software supply chain attacks often require technical investment: dependency confusion, typosquatting, malicious post-install scripts, maintaining control over a package name, and dodging scanners.
A skills marketplace lowers the bar.
A malicious skill can do something as simple as this:
Present a plausible tool (“Twitter skill,” “crypto tracker,” “automation helper”).
Add a “Prerequisites” section with a “required dependency.”
Provide a convenient link and a one‑liner command.
Rely on the human (or the agent) to execute it.
That’s not a new social engineering idea — it’s been used for years — but agent workflows
amplify
it:
Agents summarize docs confidently (“Just run this to install the dependency”).
Agents reduce friction by generating the command for you.
In some setups, agents can run shell commands themselves.
At that point, “documentation” becomes a remote execution path.
What the reports say happened in the OpenClaw ecosystem
Multiple write-ups describe a campaign in which attackers uploaded large numbers of malicious skills to the ClawHub marketplace and used “setup steps” to deliver infostealing malware.
According to 1Password’s Jason Meller, a top-downloaded skill included instructions that funneled users into a staged delivery chain: a link to a “dependency,” an obfuscated command, and then a payload that ultimately installed an infostealer designed to raid the machine for valuable secrets.
CyberInsider, citing research from Koi Security, describes a similar pattern at scale: trojanized skills with “Prerequisites” instructing users to run obfuscated shell scripts or download password-protected archives, culminating in payloads such as Atomic macOS Stealer (AMOS) — a malware family associated with credential theft and wallet targeting.
Whether the exact counts differ between reports, the
shape
is consistent:
Skills used as distribution
“Prerequisite” instructions used as persuasion
Infostealers used as the end goal
That end goal matters: modern infostealers aren’t after one password — they’re after
session tokens
,
browser profiles
SSH keys
cloud credentials
, and
crypto wallets
. In other words: the stuff that turns one compromised laptop into a broader compromise.
Why agents make this worse than a normal scammy download link
If you’ve ever thought, “I wouldn’t fall for that,” you’re probably right when you’re calm and skeptical.
But agent workflows change the context:
Speed becomes the default.
You’re using an agent because you want to move quickly.
Cognitive load is outsourced.
The agent turns a messy instruction page into a confident checklist.
Authority is borrowed.
If the agent says “This is the standard dependency,” it feels vetted.
In other words: the agent doesn’t need to be “tricked” in a technical sense. It just needs to be present while you’re being nudged to do a risky thing. That’s enough to tip behavior.
And if you
do
allow the agent to run commands directly, a malicious skill can become “hands-free compromise.”
‘But what about MCP? Isn’t that supposed to make tools safer?’
Model Context Protocol (MCP) is a real step forward for structuring tool access. It standardizes how hosts expose tools, resources, and prompts, and it emphasizes user consent and control.
However, MCP doesn’t magically make “skills” safe.
Why?
Skills can instruct users to run commands outside the MCP boundary.
Skills can link to scripts or downloads that never touch MCP.
Not every skill uses MCP at all.
MCP can help when the host implements strong permissioning, clear consent prompts, logging, and safe defaults. But a markdown-based distribution mechanism can still route around it through plain old social engineering.
This is the agent version of supply-chain security (and we’ve been here before)
The software world learned the hard way that:
Popular registries get abused.
Typosquatting works.
“Install this helper” is a common entry point.
The most valuable victims are the ones building things.
Skills marketplaces combine those lessons with two new accelerants:
The “package” can be instructions
, not code — and instructions are harder to scan reliably.
The runtime environment is credential-rich
by design: browsers logged into everything, terminals with SSH keys, cloud CLIs, password managers, and local files.
In a sense, a skills marketplace is an app store where the top apps are allowed to say “Copy-paste this into Terminal to enable the feature.” That’s not a solvable problem with one checkbox.
Practical defenses (for normal users)
If you’re experimenting with an agent that has local access, you need to treat it like a new operating system user with superpowers.
Here’s the pragmatic baseline:
Use a dedicated machine or VM
for agent experiments. No saved corporate logins. No production SSH keys. No cloud admin sessions.
Default to “no” on one-liner installers.
Especially anything that pipes curl into sh, uses base64, or asks you to remove OS protections.
Don’t trust “top downloaded.”
Popularity is a growth hack, not a security model.
Rotate what matters first if you already ran something.
Browser sessions, SSH keys, API tokens, cloud keys.
Prefer skills that are source-controlled and reviewable
(Git repos with history, known maintainers, clear provenance).
What marketplaces should do (if they want to survive)
If you run a public skills registry, you are running an attack surface.
A few practical steps that meaningfully raise attacker cost:
Publisher reputation and provenance
(verified identities, history, signing).
Automated scanning
for suspicious patterns (encoded payloads, obfuscated one-liners, quarantine removal, password-protected archives, “install core dependency” with offsite links).
Warning UI friction
for external links and shell commands.
Fast takedown and visible incident response
(treat it like an app store, not a pastebin).
None of these are perfect, but they buy time — and time is what defenders need.
What agent builders should assume going forward
If you’re building the agent runtime itself, assume skills will be weaponized.
That means:
Default-deny command execution
(require per-command consent, not once-and-forever toggles).
Strong sandboxing
for file system and browser access.
Scoped, time-bound permissions
with easy revocation.
Auditable logs
of what the agent read and what it executed.
The end state is the same direction the cloud took years ago: identity, policy, least privilege, and audit trails — but brought down to the workstation level.
Bottom line
The OpenClaw skills story isn’t just “some people uploaded malware.” It’s a preview of the next supply-chain battlefield:
skills as distribution, markdown as an execution path, and agents as the accelerator.
If agents are going to live on our personal and work machines, the ecosystem needs a trust layer that treats skills marketplaces like app stores, treats documentation like code, and treats “helpful automation” as a privileged operation — not a casual convenience.
Sources
https://www.theverge.com/news/874011/openclaw-ai-skill-clawhub-extensions-security-nightmare
https://1password.com/blog/from-magic-to-malware-how-openclaws-agent-skills-become-an-attack-surface
https://cyberinsider.com/341-openclaw-skills-distribute-macos-malware-via-clickfix-instructions/
https://agentskills.io/what-are-skills
https://modelcontextprotocol.io/specification/2025-06-18
Previous Post
Next Post
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin
Ikea’s bargain Matter-over-Thread devices are stumbling at the hardest step: getting connected
Should AI chatbots have ads? What Anthropic’s ‘no ads’ stance really means
Malicious AI-agent ‘skills’ are turning documentation into a distribution channel for infostealers. Here’s how it works — and how to defend against it.
Document Title
Page not found - Florin.blog
Image Alt
Florin.blog
Title Attribute
Florin.blog » Feed
RSD
Skip to content
Placeholder Attribute
Search...
Page Content
Page not found - Florin.blog
Skip to content
Home
Blog
Garden Decor
Indoor
Main Menu
This page doesn't seem to exist.
It looks like the link pointing here was faulty. Maybe try searching?
Search for:
Search
Quick Links
Outdoors
About
Contact
Explore
Bestsellers
Hot deals
Best of The Year
Featured
Gift Cards
Help
Privacy Policy
Disclaimer
: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.
Florin.blog
Florin.blog » Feed
RSD
Search...
r Français