Ces dernières années, l'expression « agent IA » a cessé d'être un simple argument marketing pour devenir un véritable outil de travail : un assistant capable de lire vos fichiers, d'ouvrir votre navigateur, d'exécuter des commandes et de coordonner des actions entre différents services. Du moins, c'est la promesse.
Le problème est queL'énergie possède un canal de distributionEt ce canal est de plus en plus souvent appelé uncompétence: un petit guide pratique à partager qui explique à un agent (et souvent à l'utilisateur) comment accomplir une tâche. C'est l'équivalent des applications pour agents — sauf que les « applications » sont fréquemment…Instructions Markdown.
Les rapports de cette semaine concernant les compétences malveillantes d'OpenClaw constituent un signal d'alarme précoce et très clair : nous sommes sur le point de revivre l'histoire des chaînes d'approvisionnement open source, mais avec une nuance importante : au lieu d'empoisonner une dépendance compilée, les attaquants peuvent empoisonner…documentationet utilisez l'utilité de l'agent comme lubrifiant.
Vous trouverez ci-dessous une explication pratique de ce qui s'est passé, pourquoi cela fonctionne si bien et ce que vous pouvez faire à ce sujet.
Que sont les compétences OpenClaw (et pourquoi elles sont importantes)
OpenClaw a popularisé un modèle d'extension simple : il suffit d'ajouter une « compétence » expliquant comment réaliser une tâche précise (publier sur les réseaux sociaux, nettoyer des dossiers, résumer un rapport, automatiser un flux de travail) pour que l'agent acquière une nouvelle capacité.
Dans l'écosystème plus large des « compétences d'agent », une compétence est généralement un dossier construit autour d'unCOMPÉTENCE.mdfichier. Ce fichier contient :
- Métadonnées(nom / description)
- Instructions(les étapes concrètes)
- Facultatif :scriptset autres actifs groupés
Cela paraît anodin car cela ressemble à de la documentation. Or, c'est précisément ce que les gens suivent rapidement : la documentation, surtout lorsqu'elle se présente sous la forme d'une liste de prérequis ou d'un guide d'installation.
Les compétences sont soumises à une dynamique de « tout au gagnant » : on privilégie ce qui est populaire, ce qui est nouveau et ce qui semble permettre un gain de temps. De ce fait, une plateforme publique de compétences représente une cible de choix : en ciblant quelques compétences parmi les plus téléchargées, on peut atteindre un groupe restreint d’utilisateurs experts — développeurs, opérateurs et toute personne possédant des certifications précieuses sur son ordinateur.
L'astuce principale : Markdown n'est plus du « contenu », c'est un programme d'installation.
Les attaques traditionnelles contre la chaîne d'approvisionnement logicielle nécessitent souvent des investissements techniques : confusion des dépendances, typosquatting, scripts post-installation malveillants, maintien du contrôle sur le nom du paquet et contournement des scanners.
Un marché des compétences abaisse le niveau d'exigence.
Une compétence malveillante peut faire quelque chose d'aussi simple que ceci :
- Présentez un outil plausible (« compétence Twitter », « traqueur de cryptomonnaies », « assistant d'automatisation »).
- Ajoutez une section « Prérequis » avec une « dépendance requise ».
- Fournissez un lien pratique et une commande en une seule ligne.
- Comptez sur l'humain (ou l'agent) pour l'exécuter.
Ce n’est pas une nouvelle idée d’ingénierie sociale — elle est utilisée depuis des années — mais les flux de travail des agentsamplifieril:
- Les agents résument la documentation avec assurance (« Exécutez simplement ceci pour installer la dépendance »).
- Les agents réduisent les frictions en générant la commande pour vous.
- Dans certaines configurations, les agents peuvent exécuter eux-mêmes des commandes shell.
À ce stade, la « documentation » devient une voie d'exécution à distance.
Que disent les rapports sur ce qui s'est passé dans l'écosystème OpenClaw ?
Plusieurs articles décrivent une campagne au cours de laquelle des attaquants ont téléchargé un grand nombre de compétences malveillantes sur la plateforme ClawHub et utilisé des « étapes de configuration » pour diffuser des logiciels malveillants de vol d'informations.
Selon Jason Meller de 1Password, une compétence très téléchargée comprenait des instructions qui dirigeaient les utilisateurs vers une chaîne de distribution par étapes : un lien vers une « dépendance », une commande obfusquée, puis une charge utile qui installait finalement un voleur d’informations conçu pour piller la machine à la recherche de secrets précieux.
CyberInsider, citant une étude de Koi Security, décrit un schéma similaire à grande échelle : des compétences trojanisées avec des « prérequis » demandant aux utilisateurs d’exécuter des scripts shell obfusqués ou de télécharger des archives protégées par mot de passe, aboutissant à des charges utiles telles que Atomic macOS Stealer (AMOS) — une famille de logiciels malveillants associée au vol d’identifiants et au ciblage de portefeuilles.
Que les chiffres exacts diffèrent d'un rapport à l'autre,formeest cohérent :
- Compétences utilisées comme distribution
- Les instructions relatives aux « prérequis » sont utilisées comme moyen de persuasion
- Les voleurs d'informations sont utilisés comme objectif final
Cet objectif final est important : les voleurs d’informations modernes ne recherchent pas un seul mot de passe, mais une véritable chaîne de cybercriminels.jetons de session,profils de navigateur,Clés SSH,identifiants cloud, etportefeuilles cryptoAutrement dit : tout ce qui transforme un ordinateur portable compromis en une compromission plus générale.
Pourquoi les agents rendent cela pire qu'un lien de téléchargement frauduleux classique
Si vous vous êtes déjà dit : « Je ne me laisserais pas avoir », vous avez probablement raison lorsque vous êtes calme et sceptique.
Mais les flux de travail des agents changent le contexte :
- La vitesse devient la norme.Vous faites appel à un agent parce que vous souhaitez avancer rapidement.
- La charge cognitive est externalisée.L'agent transforme une page d'instructions confuse en une liste de contrôle fiable.
- L'autorité est empruntée.Si l'agent dit « Il s'agit de la dépendance standard », cela donne une impression de fiabilité.
Autrement dit, l'agent n'a pas besoin d'être « trompé » au sens technique du terme. Il suffit qu'il soit présent lorsque vous êtes incité à prendre un risque. Cela suffit à influencer votre comportement.
Et si vousfaireSi l'agent est autorisé à exécuter directement des commandes, une compétence malveillante peut se transformer en « compromission mains libres ».
« Mais qu'en est-il du MCP ? N'est-ce pas censé rendre les outils plus sûrs ? »
Le protocole MCP (Model Context Protocol) représente une avancée majeure pour la structuration de l'accès aux outils. Il normalise la manière dont les hôtes exposent les outils, les ressources et les invites, et met l'accent sur le consentement et le contrôle de l'utilisateur.
Cependant, le MCP ne rend pas les « compétences » sûres comme par magie.
Pourquoi?
- Les compétences peuvent permettre aux utilisateurs d'exécuter des commandes en dehors du périmètre du MCP.
- Les compétences peuvent renvoyer vers des scripts ou des téléchargements qui n'accèdent jamais à MCP.
- Toutes les compétences n'utilisent pas du tout le MCP.
MCP peut s'avérer utile lorsque l'hôte met en œuvre un système d'autorisation strict, des demandes de consentement claires, la journalisation et des valeurs par défaut sécurisées. Cependant, un mécanisme de distribution basé sur Markdown peut toujours le contourner par de simples techniques d'ingénierie sociale.
Il s'agit de la version « agent » de la sécurité de la chaîne d'approvisionnement (et nous avons déjà abordé ce sujet).
Le monde du logiciel a appris à ses dépens que :
- Les registres populaires sont sujets à des abus.
- Le typosquatting fonctionne.
- « Installer cet utilitaire » est un point d'entrée courant.
- Les victimes les plus précieuses sont celles qui construisent les choses.
Les plateformes de compétences associent ces enseignements à deux nouveaux accélérateurs :
- Le « paquet » peut être des instructions, pas du code — et les instructions sont plus difficiles à analyser de manière fiable.
- L'environnement d'exécution est riche en identifiants.C’est voulu : des navigateurs connectés à tout, des terminaux avec des clés SSH, des interfaces de ligne de commande cloud, des gestionnaires de mots de passe et des fichiers locaux.
En un sens, une plateforme de compétences est une boutique d'applications où les meilleures applications sont autorisées à indiquer : « Copiez-collez ceci dans le Terminal pour activer la fonctionnalité. » Ce problème ne se résout pas avec une simple case à cocher.
Défenses pratiques (pour les utilisateurs normaux)
Si vous expérimentez avec un agent disposant d'un accès local, vous devez le traiter comme un nouvel utilisateur du système d'exploitation doté de super-pouvoirs.
Voici le point de départ pragmatique :
- Utilisez une machine dédiée ou une machine virtuellePour les tests d'agents. Aucun identifiant d'entreprise enregistré. Aucune clé SSH de production. Aucune session d'administration cloud.
- Répondre « non » par défaut aux programmes d'installation en une seule ligne.En particulier tout ce qui redirige curl vers sh, utilise base64 ou vous demande de supprimer les protections du système d'exploitation.
- Ne vous fiez pas aux « téléchargements les plus populaires ».La popularité est un levier de croissance, pas un modèle de sécurité.
- Si vous avez déjà exécuté une commande, commencez par faire pivoter ce qui est important.Sessions de navigateur, clés SSH, jetons API, clés cloud.
- Privilégiez les compétences dont le code source est contrôlé et révisable.(Dépôts Git avec historique, responsables connus, provenance claire).
Ce que les places de marché devraient faire (si elles veulent survivre)
Si vous gérez un registre public de compétences, vous exposez votre entreprise à des attaques.
Quelques mesures pratiques permettant d'augmenter sensiblement le coût pour l'attaquant :
- Réputation et provenance de l'éditeur(identités vérifiées, historique, signature).
- Numérisation automatiséepour les schémas suspects (charges utiles encodées, lignes de commande obfusquées, suppression de la quarantaine, archives protégées par mot de passe, « installer une dépendance principale » avec des liens externes).
- Avertissement concernant les frictions de l'interface utilisateurpour les liens externes et les commandes shell.
- Intervention rapide et réponse visible aux incidents(Considérez-le comme une boutique d'applications, et non comme un service de partage de texte).
Aucune de ces solutions n'est parfaite, mais elles permettent de gagner du temps — et c'est précisément le temps dont les défenseurs ont besoin.
Ce que les créateurs d'agents doivent prendre en compte pour l'avenir
Si vous développez vous-même l'environnement d'exécution de l'agent, partez du principe que les compétences seront utilisées comme armes.
Cela signifie :
- Exécution de la commande de refus par défaut(nécessite un consentement pour chaque commande, et non des options à bascule permanentes).
- bac à sable robustepour l'accès au système de fichiers et au navigateur.
- autorisations limitées dans le temps et circonscritesavec révocation facile.
- Journaux auditablesde ce que l'agent a lu et de ce qu'il a exécuté.
L'objectif final est le même que celui du cloud il y a des années : identité, politique, moindre privilège et pistes d'audit, mais transposées au niveau du poste de travail.
En résumé
L'affaire OpenClaw ne se résume pas à « quelques personnes qui ont téléchargé un logiciel malveillant ». C'est un aperçu du prochain champ de bataille de la chaîne d'approvisionnement :Les compétences comme vecteur de distribution, le Markdown comme voie d'exécution et les agents comme accélérateur.
Si les agents doivent résider sur nos machines personnelles et professionnelles, l'écosystème a besoin d'une couche de confiance qui traite les plateformes de compétences comme des boutiques d'applications, la documentation comme du code et « l'automatisation utile » comme une opération privilégiée, et non comme une simple commodité.
Sources
- https://www.theverge.com/news/874011/openclaw-ai-skill-clawhub-extensions-security-nightmare
- https://1password.com/blog/from-magic-to-malware-how-openclaws-agent-skills-become-an-attack-surface
- https://cyberinsider.com/341-openclaw-skills-distribute-macos-malware-via-clickfix-instructions/
- https://agentskills.io/what-are-skills
- https://modelcontextprotocol.io/specification/2025-06-18