OpenClaw le marché des compétences a été dévoilé comme contenant plus de mille plugins malveillants, conçus pour voler les clés SSH et les clés privées de portefeuilles cryptographiques. L’« hypothèse de confiance » dans l’écosystème des outils d’IA devient la surface d’attaque la plus sous-estimée dans Web3.
(Précédent : Bloomberg : pourquoi a16z est-il devenu un acteur clé derrière la politique américaine sur l’IA ?)
(Complément d’information : dernier article d’Arthur Hayes : l’IA va déclencher un effondrement de la confiance, la Réserve fédérale finira par « imprimer à l’infini » et enflammer le Bitcoin)
Sommaire de l’article
- Le texte n’est plus simplement du texte, mais des instructions
- La leçon de 1,78 million de dollars de Moonwell
- La mauvaise configuration de la confiance
Cos(余弦), fondateur de SlowMist, a récemment lancé un avertissement sur la plateforme X : dans le marché des compétences ClawHub d’OpenClaw, environ 1184 plugins malveillants ont été identifiés, capables de voler les clés SSH, les clés privées de portefeuilles cryptographiques, les mots de passe de navigateur, voire d’établir une porte dérobée Shell inversée. Les compétences malveillantes les plus répandues comportent 9 vulnérabilités, avec plusieurs milliers de téléchargements.
Rappel : le texte n’est plus simplement du texte, mais des instructions. Utiliser un environnement séparé pour jouer avec ces outils d’IA…
Skills sont très dangereux⚠️
Skills sont très dangereux⚠️
Skills sont très dangereux⚠️ https://t.co/GZ3hhathkE
— Cos(余弦)😶🌫️ (@evilcos) 20 février 2026
ClawHub est la plateforme officielle des compétences d’OpenClaw, anciennement clawbot, qui a récemment connu un succès viral. Les utilisateurs y installent des extensions tierces permettant à l’IA d’exécuter diverses tâches, du déploiement de code à la gestion de portefeuilles.
La société de sécurité Koi Security a d’abord révélé fin janvier cette opération d’attaque nommée « ClawHavoc », identifiant initialement 341 compétences malveillantes. Par la suite, des chercheurs en sécurité indépendants et Antiy CERT ont étendu le nombre à 1184, impliquant 12 comptes de publication. Un attaquant sous le pseudonyme hightower6eu a seul uploadé 677 packages, plus de la moitié du total.
En d’autres termes, une seule personne a contaminé plus de la moitié du marché avec des contenus malveillants, et le mécanisme de modération de la plateforme n’a rien détecté.
Le texte n’est plus simplement du texte, mais des instructions
Ces compétences malveillantes ne sont pas grossières. Elles se déguisent en robots de trading crypto, trackers de portefeuilles Solana, outils de stratégie Polymarket, résumeurs YouTube, accompagnés de documents explicatifs professionnels. La véritable arme secrète se cache dans la section « Prérequis » du fichier SKILL.md : elle guide l’utilisateur à copier un script Shell obfusqué depuis un site externe, puis à l’exécuter dans le terminal.
Ce script télécharge depuis un serveur C2 un outil d’exfiltration d’informations macOS, Atomic Stealer (AMOS), facturé entre 500 et 1000 dollars par mois.
AMOS scanne les mots de passe de navigateur, les clés SSH, les conversations Telegram, les clés privées Phantom, les API d’échange, ainsi que tous les fichiers dans le bureau et les dossiers. Les attaquants ont même enregistré plusieurs variantes orthographiques de ClawHub (clawhub1, clawhubb, cllawhub) pour imiter des domaines, et deux compétences sur Polymarket incluent des portes dérobées Shell inversées.
Les fichiers de compétences malveillantes intègrent aussi des prompts d’IA conçus pour tromper l’agent OpenClaw, afin que l’IA « recommande » à l’utilisateur d’exécuter des commandes malveillantes. Cos résume avec précision : « Le texte n’est plus simplement du texte, mais des instructions. » Lors de l’utilisation d’outils d’IA, il faut utiliser un environnement isolé.
C’est là que réside le problème. Lorsque l’utilisateur fait confiance aux recommandations de l’IA, et que la source de ces recommandations est contaminée, toute la chaîne de confiance est brisée.
La leçon de 1,78 million de dollars de Moonwell
Dans le même avertissement, Cos mentionne un autre incident : le protocole DeFi Moonwell a subi une perte de 1,78 million de dollars le 15 février, à cause d’une erreur de prix dans un oracle.
Le problème venait d’un code de calcul du prix en dollars de cbETH, qui oubliait de multiplier le taux de change cbETH/ETH par le prix ETH/USD, fixant ainsi le prix de cbETH à environ 1,12 dollars au lieu de 2200 dollars. Le bot de liquidation a alors balayé toutes les positions en cbETH comme collatéral, causant la perte d’environ 2,68 millions de dollars à 181 emprunteurs.
Krum Pashov, auditeur en sécurité blockchain, a découvert que ce code GitHub portait la mention « Co-Authored-By: Claude Opus 4.6 ». NeuralTrust décrit cette erreur comme un piège : « Le code semble correct, compile, passe les tests unitaires, mais échoue complètement dans un environnement DeFi adversarial. »
Ce qui est encore plus alarmant, c’est que la vérification humaine, GitHub Copilot et l’inspecteur de code OpenZeppelin n’ont pas détecté cette erreur de multiplication.
La communauté a qualifié cet incident de « grave accident de sécurité dans l’ère du Vibe Coding ». Cos souligne que ce cas montre que la menace sur la sécurité Web3 ne se limite plus aux smart contracts eux-mêmes : les outils d’IA deviennent une nouvelle surface d’attaque.
La mauvaise configuration de la confiance
Peter Steinberger, fondateur d’OpenClaw, a déjà mis en place un mécanisme de signalement communautaire : après trois signalements, une compétence suspecte est automatiquement masquée. Koi Security a aussi publié l’outil de scan Clawdex, mais ce n’est que des mesures palliatives.
Le problème fondamental est que l’écosystème des outils d’IA repose sur une « confiance » par défaut : faire confiance aux compétences listées, faire confiance aux recommandations de l’IA, faire confiance au code généré. Quand cet écosystème gère des portefeuilles cryptographiques et des protocoles DeFi, cette confiance est mal placée, et le coût peut être en argent réel.
Note : selon VanEck, fin 2025, plus de 10 000 agents IA seront actifs dans la cryptosphère, et ce nombre devrait dépasser un million en 2026.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Le gros bug du portefeuille crypto Phantom ! Pendant la période d’airdrops, les prix ont été perturbés, déclenchant une vague de réclamations des utilisateurs
Le portefeuille Phantom a connu un dysfonctionnement pendant la période d’airdrops, entraînant des anomalies dans l’affichage du prix des tokens et des soldes de compte. Bien que la sécurité des actifs ne soit pas compromise, les utilisateurs ont subi des pertes lors des transactions, ce qui a déclenché des demandes d’indemnisation et une crise de confiance. Cet incident a également accru les inquiétudes en matière de sécurité de la blockchain ; certains malfaiteurs pourraient profiter de la situation de confusion pour lancer des attaques de phishing. Bien que le problème technique ait été corrigé, des améliorations restent nécessaires pour l’expérience utilisateur et la stabilité du système.
CryptoCityIl y a 1h
Le projet de cryptomonnaie WLFI de la famille de Trump emprunte 31,4 millions de dollars via le prêt sur Dolomite, ce qui suscite des controverses en raison du chevauchement des rôles d’advisory.
Le projet de crypto WLFI, fondé par la famille de Trump, a suscité des inquiétudes sur le risque de liquidité et les relations privilégiées via des prêts accordés par Dolomite. WLFI a fourni en garantie des stablecoins USD1 et des jetons de plateforme, a emprunté 31,4 millions de dollars, puis les a transférés vers un CEX présumé, apparemment pour procéder à un échange contre de la monnaie fiduciaire. WLFI est très concentré et présente également un risque de liquidation. Les données on-chain montrent que, récemment, WLFI a transféré un volume important de jetons, dont la destination reste inconnue, et n’a pas encore répondu à la situation de la transaction.
GateNewsIl y a 1h
Un CEX impliqué dans une action internationale menée par la NCA britannique, visant à lutter contre les escroqueries par phishing avec autorisation
Un CEX a participé à l’opération « Operation Atlantic », menée par la National Crime Agency britannique, visant à lutter contre les escroqueries liées à la crypto et aux investissements, en se concentrant particulièrement sur les arnaques de phishing autorisées. Le CEX a apporté un soutien sur site, aidant à identifier les victimes et les sites web malveillants, et a fourni des renseignements aux forces de l’ordre, protégeant ainsi des milliers de victimes potentielles.
GateNewsIl y a 2h
ZachXBT : les cofondateurs de Spartans seraient à l’origine d’une arnaque présumée de prévente Blockdag, levant plus de 300 millions de dollars
Le détective on-chain ZachXBT accuse le supposé cofondateur de la plateforme de casino Spartans, Gurhan Kiziloz, d’avoir mené le projet Blockdag Network en étant à l’origine de campagnes publicitaires trompeuses qui auraient induit les investisseurs particuliers en erreur, afin de lever 3 milliards de dollars, et d’avoir retiré les fonds vers le Moyen-Orient en l’espace de deux ans. Gurhan serait également soupçonné de dépenses somptueuses et d’avoir maintenu son image grâce à des actions de relations publiques.
GateNewsIl y a 2h
Un cabinet d’avocats américain lance une enquête sur une action collective concernant l’incident de piratage de Drift Protocol, remettant en question le fait que Circle n’a pas gelé les fonds.
Le cabinet d’avocats américain Gibbs Mura lance une enquête sur un recours collectif, concernant l’incident de vol du protocole Drift, pour un montant d’environ 280 à 285 millions de dollars. Le cabinet indique que Circle n’a pas gelé les fonds volés en temps utile et appelle les utilisateurs lésés à rejoindre la procédure afin de récupérer leurs pertes.
GateNewsIl y a 3h
Le contrat AethirOFTAdapter de Aethir aurait été attaqué, et les fonds volés seraient stockés sur la chaîne BSC
Actualités de Gate News, le 9 avril, PeckShield a publié un message indiquant que le contrat AethirOFTAdapter du projet Aethir aurait peut-être été attaqué, et que les fonds dérobés sont actuellement conservés sur une adresse donnée de la chaîne BSC. PeckShield a déjà alerté publiquement AethirCloud et AethirEco afin qu’ils prêtent attention à cette affaire ; le montant exact des pertes n’a pas encore été divulgué.
GateNewsIl y a 4h
