Chief Information Security Officer de Slow Mist Technology 23pds Alerte publique : en raison de la dépendance de ClawHub à la connexion unique via GitHub, les certificats de développeur volés par des vers ou des virus peuvent être utilisés pour usurper l’identité des développeurs, publier des Skills malveillants et lancer des attaques sur la chaîne d’approvisionnement. Par ailleurs, GoPlus a effectué une analyse de sécurité complète des 100 Skills les plus téléchargés sur ClawHub, révélant que 21 % présentent un risque élevé et 17 % nécessitent une mise en garde.
Analyse complète du chemin d’attaque : du certificat GitHub à l’intrusion dans le système
Slow Mist a clairement détaillé dans son rapport le parcours potentiel de cette attaque, aidant ainsi les développeurs et utilisateurs à comprendre le mécanisme réel de la menace :
Vol de certificats : Virus tels que Sha1-Hulud ou attaques de phishing pour dérober les identifiants de connexion GitHub des développeurs
Obtention des droits sur GitHub : L’attaquant utilise le certificat volé pour accéder au compte GitHub de la victime
Usurpation d’identité pour se connecter à ClawHub : Grâce à l’authentification par GitHub en un clic, l’attaquant peut accéder directement à la plateforme en tant que développeur légitime
Publication de Skills malveillants : Sous le nom du développeur compromis, déployant des Skills contenant des portes dérobées, difficiles à distinguer des Skills légitimes
Installation et exécution par l’utilisateur : Des utilisateurs non informés téléchargent et exécutent ces Skills, déclenchant du code malveillant
Intrusion dans le système : L’attaquant obtient l’accès aux appareils des utilisateurs, pouvant entraîner vol de données, contrôle à distance, etc.
Ce cycle d’attaque est particulièrement dangereux car chaque étape est très discrète, rendant difficile pour l’utilisateur de détecter si un Skill a été modifié de manière malveillante.
Résultats de l’analyse GoPlus : répartition de la sécurité parmi les 100 Skills les plus populaires
Le 12 mars, GoPlus a publié un rapport d’analyse de sécurité sur les 100 Skills les plus téléchargés sur ClawHub, fournissant des données de risque plus systématiques :
21 % bloqués : Ces Skills présentent des opérations à haut risque, telles que pénétration réseau, appels API sensibles ou envoi automatique de messages
17 % avec avertissement : Risque potentiel, recommandé avec prudence pour les utilisateurs soucieux de la sécurité
62 % passés en revue : Aucun problème évident détecté dans la dimension d’analyse actuelle
GoPlus recommande que pour les Skills à haut risque, un mécanisme de « Human-in-the-Loop (HITL) » soit mis en place, impliquant une validation humaine avant l’exécution des opérations critiques, plutôt qu’une correction après coup.
Controverse autour de SkillHub de Tencent : extraction massive soulevant des questions de droits d’auteur et de soutien
Parallèlement à l’augmentation des alertes de sécurité, l’écosystème ClawHub a également été au centre d’un débat suite à la démarche de Tencent. Tencent a lancé une communauté SkillHub basée sur l’écosystème open source officiel OpenClaw, visant à distribuer localement des Skills pour les développeurs chinois. Cependant, Peter Steinberger, créateur d’OpenClaw, a critiqué cette initiative après avoir été informé, affirmant avoir reçu des mails de plainte indiquant que Tencent aurait copié tous les Skills de ClawHub et les aurait intégrés à sa plateforme, avec une vitesse si rapide qu’elle aurait déclenché les limites de taux officielles. Steinberger a déclaré : « Ils ont copié, mais sans soutenir ce projet. »
Tencent AI a répondu en expliquant que SkillHub fonctionne comme un miroir, avec une mention claire de la source originale ClawHub, et que l’objectif est d’offrir une expérience d’accès plus stable et rapide pour les utilisateurs chinois. La plateforme a traité environ 180 GB de trafic de téléchargement (87 000 téléchargements) lors de sa première semaine, mais les données réellement extraites de la source officielle ne représenteraient qu’environ 1 GB. Tencent a également souligné que plusieurs membres de ses équipes ont contribué au code des projets open source concernés, souhaitant continuer à soutenir l’écosystème.
Questions fréquentes
Comment les utilisateurs de ClawHub peuvent-ils se protéger contre les Skills malveillants ?
Il est conseillé d’installer en priorité les Skills vérifiés par des organismes de sécurité comme GoPlus ; faire preuve de prudence avec ceux demandant l’accès au système de fichiers local, au réseau ou aux API système ; surveiller le nombre de téléchargements et les évaluations, mais ne pas se baser uniquement sur ces critères pour la sécurité ; mettre régulièrement à jour ses Skills et suivre les annonces de sécurité de la plateforme. La meilleure pratique consiste à activer la fonction « confirmation humaine (HITL) » avant d’exécuter des opérations à haut risque.
Faut-il changer la méthode d’authentification de ClawHub, passant de GitHub à une autre ?
D’un point de vue sécurité, se reposer uniquement sur un fournisseur OAuth (comme GitHub) constitue un point de défaillance unique — si les certificats GitHub sont compromis, le compte ClawHub est vulnérable. Des solutions plus sûres incluent : l’introduction de l’authentification multi-facteurs (MFA), la création de comptes indépendants, ou l’ajout d’une étape de vérification humaine ou automatique lors de la publication de Skills. Ces améliorations relèvent de l’évolution continue du mécanisme de confiance de la plateforme.
La démarche de SkillHub de Tencent viole-t-elle les licences open source ?
Cela dépend des licences spécifiques d’OpenClaw et de ClawHub. La mention de miroir et de source originale dans SkillHub peut constituer une utilisation raisonnable, mais la critique de Steinberger pointe surtout un problème d’éthique — utiliser les résultats de la communauté sans contribution substantielle ou soutien commercial à l’écosystème. Ce type de controverse est courant dans la communauté open source, et peut généralement être résolu par des clauses de licence plus claires ou des accords commerciaux.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Le token RAVE explose 110 fois en deux semaines, puis s'effondre de 98 % au milieu d'accusations de manipulation du marché
Message d'actualité Gate News, 27 avril — RAVE, le token natif de RaveDAO (d'un projet culturel de communauté basé sur Web3), a été multiplié par 110 en deux semaines avant de chuter de 98% en deux jours les 19-20 avril, suscitant des comparaisons avec la célèbre affaire de manipulation boursière du titre Lubo en 2007 en Corée du Sud.
Le 18 avril, RAVE r
GateNewsIl y a 3h
Recherche révèle : les joueurs de Polymarket qui gagnent 3% réalisent 30% de profit, et plus de 70% des joueurs absorbent toutes les pertes
Une nouvelle étude analyse les relevés de transactions de Polymarket sur la période 2023–2025 et montre que seulement 3,14 % des traders expérimentés détiennent plus de 30 % des profits ; la contribution de la foule ne suffit donc pas à expliquer l’exactitude globale. Elle suit également 1 950 comptes de transactions d’initiés hautement suspects ; bien qu’ils n’aient pas dominé les prédictions, ils ont amplifié la volatilité des prix. L’étude indique qu’il existe des cas où, avant que les États-Unis ne publient des informations sur les développements concernant le Venezuela, de gros paris ont été placés et ont généré des profits. L’étude remet en question la sagesse de la foule et souligne la nécessité d’une réglementation de plus en plus stricte.
ChainNewsAbmediaIl y a 3h
Plus de 40 cas d’enlèvements visant des investisseurs en cryptomonnaies en France en 2026, impliquant une fuite de données fiscales
Selon Market Forces Africa, dans un article publié le 27 avril, le nombre de cas d’enlèvements et d’attaques violentes visant des investisseurs en cryptomonnaies en France a fortement augmenté. Sur la plateforme X, le fondateur de Telegram, Pavel Durov, a déclaré que depuis le début 2026, il a recensé 41 cas d’enlèvement d’investisseurs en cryptomonnaies, soit en moyenne un cas tous les 2,5 jours, et que cela est lié à une fuite de données fiscales en France.
MarketWhisperIl y a 4h
Des policiers de cybersécurité de Hubei reçoivent la médaille de deuxième classe pour exploits, en 70 jours ils ont résolu la première affaire de vol de cryptomonnaies de plus d’un milliard de dollars dans toute la province
Selon le Hubei Daily (湖北日報) du 27 avril, le policier Guo Tingyu, de la brigade de la sécurité du réseau relevant du bureau de police du district de Qingshan, de la ville de Wuhan, s’est vu récemment décerner une médaille personnelle de deuxième classe pour mérite. Guo Tingyu est diplômé de l’Université des sciences et technologies de Chine centrale, spécialisé en informatique ; en 2023, il a réussi le concours de fonction publique pour entrer dans la police ; au début de 2024, il a pris en charge la toute première affaire de vol de monnaie virtuelle dans tout le Hubei, qui a nécessité près de 70 jours d’enquête et d’élucidation ; les fonds impliqués s’élèvent à plus de 100 millions de yuans ; les 5 suspects ont tous subi les sanctions prévues par la loi.
MarketWhisperIl y a 4h
Litecoin exécute une profonde réorganisation de chaîne pour annuler une exploitation de la couche de confidentialité MWEB
Message de Gate News, 27 avril — Litecoin a subi une profonde réorganisation de chaîne le samedi (26 avril) après que des attaquants ont exploité une vulnérabilité zero-day dans sa couche de confidentialité MimbleWimble Extension Block (MWEB), a annoncé la Litecoin Foundation. La réorg a couvert les blocs 3 095 930 à 3 095 943 et
GateNewsIl y a 5h
La Chine démantèle un réseau de vol de cryptomonnaies d’une valeur de plus de $140 Million et arrête 5 suspects
Message de Gate News, 27 avril — Une unité de cybercriminalité à Wuhan, dans la province chinoise du Hubei, a démantelé un réseau de vol de cryptomonnaies impliquant des applications de portefeuille contrefaites, les enquêtes révélant plus de 100 millions de yuans (environ $14 million) de produit illicite. Cinq suspects ont été
GateNewsIl y a 5h
