Agents IA et securite : les lecons d'OpenClaw pour proteger vos sites web

En janvier 2026, OpenClaw depassait les 250 829 etoiles sur GitHub en a peine 60 jours, devenant le depot open source le plus rapidement adopte de l'histoire. En mars 2026, le projet est au centre de la plus grande crise de securite que l'ecosysteme des agents IA ait jamais connue. CVE-2026-25253, ClawHavoc, bans gouvernementaux, infostealers : cette affaire redefinit la maniere dont nous devons penser la securite des outils de developpement assistes par l'IA.

Ce guide analyse la crise en profondeur, etablit les paralleles directs avec l'ecosysteme WordPress que vous connaissez, et fournit des recommandations actionnables pour proteger vos sites web et vos pipelines CI/CD.

OpenClaw : anatomie d'une ascension meteorique

OpenClaw est un framework open source d'orchestration d'agents IA. Son principe est simple : un agent central capable d'appeler des skills (des modules tiers qui etendent ses capacites) pour executer des taches complexes. Redigez un email, analysez un fichier CSV, deployez du code sur un serveur distant. Chaque skill ajoute une capacite nouvelle a l'agent.

Les chiffres de l'adoption

Metrique	Valeur
Etoiles GitHub	250 829 en 60 jours
Instances deployees	42 900 dans 82 pays
Skills publies sur le registry	14 700+
Contributeurs actifs	3 200+
Forks	18 400+

L'adoption a ete portee par trois facteurs. D'abord, une API extremement simple pour creer des skills. Ensuite, un systeme de registry similaire a npm ou au repertoire de plugins WordPress. Enfin, le soutien de NVIDIA qui a presente NemoClaw lors de sa conference GTC 2026, integrant OpenClaw dans sa stack d'inference.

Le modele d'execution

OpenClaw execute les skills dans le meme contexte que l'agent principal. En pratique, cela signifie qu'un skill a acces aux memes credentials, aux memes fichiers et au meme reseau que le processus hote. C'est exactement le meme modele que les plugins WordPress executant du PHP dans le contexte de l'application principale.

Cette architecture a permis une adoption fulgurante. Elle a aussi cree les conditions d'une catastrophe securitaire.

CVE-2026-25253 : la faille qui a tout declenche

Le 27 fevrier 2026, le chercheur en securite Marcus Chen publie CVE-2026-25253, une vulnerabilite critique dans le mecanisme d'authentification d'OpenClaw.

Details techniques

Type : Remote Code Execution (RCE)
Score CVSS : 8.8 (critique)
Vecteur : contournement de l'authentification par injection de tokens dans les en-tetes de requete
Taux de contournement : 93.4 % des instances non patchees
Instances exposees au moment de la divulgation : 17 500

La faille reside dans la fonction validateSkillAuth() du core. Le mecanisme de validation des tokens JWT accepte les tokens signes avec une cle vide, permettant a n'importe quel skill malveillant de s'authentifier comme un utilisateur privilegie. Le resultat : une execution de code arbitraire sur la machine hote avec les privileges du processus OpenClaw.

Chronologie de la divulgation

Date	Evenement
12 fevrier 2026	Marcus Chen decouvre la faille lors d'un audit de routine
14 fevrier 2026	Rapport envoye a l'equipe OpenClaw via le programme de divulgation responsable
21 fevrier 2026	Pas de reponse. Chen contacte le CERT
27 fevrier 2026	Publication de la CVE apres le delai de 15 jours sans patch
2 mars 2026	OpenClaw publie le patch v2.4.1
5 mars 2026	Debut de l'exploitation massive en production

Le delai de 5 jours entre le patch et les premieres exploitations massives est inhabituellement court. Les attaquants ont reverse-engineer le correctif pour identifier le vecteur d'attaque, une technique classique baptisee patch diffing.

L'ampleur de l'exploitation

Au 15 mars 2026, 512 vulnerabilites distinctes avaient ete identifiees dans l'ecosysteme OpenClaw (core + skills). Parmi elles :

147 failles de type RCE
89 failles d'escalade de privileges
276 fuites de donnees sensibles (credentials, tokens API, cles SSH)

Une breach de 35 000 adresses email de developpeurs a ete confirmee, provenant d'instances OpenClaw compromises dont les credentials d'API de services tiers (SendGrid, Mailgun) avaient ete exfiltrees.

ClawHavoc : 824 skills malveillants dans le registry

Si CVE-2026-25253 etait un incident, ClawHavoc est une campagne organisee. Le 8 mars 2026, l'equipe de securite de Wiz publie un rapport detaillant la decouverte de 824 skills malveillants dans le registry officiel d'OpenClaw.

Mecanismes d'attaque

Les skills malveillants utilisaient plusieurs techniques :

1. Typosquatting

Les attaquants publiaient des skills dont les noms imitaient des packages populaires. csv-parser-pro devenait csv-parserr-pro. email-sender devenait emaiI-sender (avec un I majuscule a la place du l minuscule). 312 skills malveillants utilisaient cette technique.

2. Dependency confusion

Certains skills declaraient des dependances vers des packages internes d'organisations privees. Si le registry public etait interroge avant le registry interne, le skill malveillant etait installe a la place de la version legitime. Cette technique a touche 178 organisations.

3. Injection de code post-installation

Le code malveillant ne residait pas dans le skill lui-meme mais s'executait lors du hook postInstall. L'analyse statique du code source du skill ne revelait rien de suspect. C'est uniquement lors de l'installation que le payload etait telecharge et execute.

4. AMOS Infostealer

Le payload le plus frequent etait AMOS (Atomic macOS Stealer), un infostealer ciblent les machines de developpeurs macOS. AMOS exfiltre les cookies de navigateur, les credentials stockees dans le Keychain, les wallets de cryptomonnaie et les tokens d'authentification des services cloud.

Ampleur de la campagne

Indicateur	Valeur
Skills malveillants identifies	824
Telechargements cumules avant retrait	47 000+
Variantes d'AMOS detectees	12
Organisations touchees	178
Delai moyen avant detection	17 jours

Le parallele avec l'ecosysteme npm est frappant. En 2025, npm avait retire plus de 6 000 packages malveillants. Mais la difference avec OpenClaw est que les skills disposent d'un acces beaucoup plus large que de simples packages npm : ils operent dans le contexte d'un agent IA capable d'executer du code, d'acceder au systeme de fichiers et de realiser des requetes reseau.

Les bans : Meta, Naver et la Chine reagissent

La crise ClawHavoc a provoque une onde de choc dans l'industrie. Plusieurs acteurs majeurs ont pris des mesures drastiques.

Meta (9 mars 2026)

Meta a interdit l'utilisation d'OpenClaw dans tous ses pipelines de developpement internes et dans ses produits destines aux utilisateurs. La decision a ete motivee par la decouverte que trois equipes internes utilisaient des skills non audites en production.

Naver (11 mars 2026)

Le geant sud-coreen a bloque l'acces au registry OpenClaw depuis l'ensemble de son reseau d'entreprise et a lance un audit de tous les agents IA utilises dans ses services.

Chine (14 mars 2026)

Le Cyberspace Administration of China (CAC) a emis une directive interdisant l'utilisation d'OpenClaw dans les infrastructures critiques et les services gouvernementaux. Les entreprises technologiques chinoises ont recu un delai de 30 jours pour migrer vers des alternatives nationales.

Ces decisions marquent un tournant. Pour la premiere fois, des gouvernements et des entreprises majeures traitent un framework d'agent IA avec le meme niveau de severite qu'un composant d'infrastructure critique.

Le parallele WordPress : skills = plugins

Si vous gerez des sites WordPress, la crise OpenClaw doit vous sembler familiere. Le modele est strictement identique : un ecosysteme ouvert ou des extensions tierces s'executent dans le meme contexte que l'application principale.

Les similitudes structurelles

WordPress	OpenClaw
Plugin	Skill
Repertoire WordPress.org	OpenClaw Registry
Hook `activate_plugin`	Hook `postInstall`
Execution PHP dans le contexte WP	Execution dans le contexte agent
`wp-config.php` avec credentials DB	Fichier `.claw.config` avec tokens API
97 % des failles viennent des plugins	89 % des failles viennent des skills

Les lecons deja apprises (et oubliees)

L'ecosysteme WordPress a subi les memes types d'attaques depuis des annees :

Supply chain attacks via des plugins compromis : le cas Flavors of the Day en 2024, ou un plugin WordPress populaire (100 000+ installations actives) a ete rachete puis backdoore par un acteur malveillant
Typosquatting sur le repertoire : des plugins aux noms similaires a des extensions populaires injectant du code malveillant
Exploits de plugins non maintenus : des dizaines de milliers de sites compromis via des plugins abandonnes par leurs developpeurs

Si vous n'avez pas encore audite la securite de votre site WordPress, les memes risques s'appliquent. Consultez notre guide complet de securite WordPress pour un plan d'action detaille.

Les attaques supply chain les plus courantes

Que ce soit sur WordPress ou OpenClaw, les attaques supply chain suivent des patterns previsibles. Les connaitre permet de les anticiper.

Rachat de projet

Un attaquant rachete un plugin/skill populaire mais peu maintenu. La version suivante contient un backdoor. C'est exactement ce qui s'est passe avec 47 skills OpenClaw dont les mainteneurs d'origine avaient cesse de contribuer.

Compromission de compte mainteneur

L'attaquant obtient les credentials du mainteneur (phishing, credential stuffing, reuse de mot de passe) et publie une version malveillante. Sur WordPress, ce vecteur est responsable de 23 % des compromissions de plugins selon Patchstack.

Injection via CI/CD

L'attaquant compromet le pipeline de build du plugin/skill. Le code source reste clean mais l'artefact publie contient du code malveillant. C'est le meme scenario que l'attaque SolarWinds en 2020, applique a l'echelle des extensions d'agents IA.

Pour comprendre comment ces attaques se materialisent concretement sur WordPress, consultez notre guide sur les fichiers WordPress infectes et les techniques de detection.

Claude Code, Cursor, Windsurf : les memes risques

OpenClaw n'est pas le seul framework d'agent IA concerne. Les assistants de code IA populaires -- Claude Code, Cursor, Windsurf, GitHub Copilot Agent -- partagent le meme modele d'execution. Un agent qui peut lire et ecrire des fichiers, executer des commandes shell et acceder au reseau represente une surface d'attaque considerable.

Les vecteurs d'attaque communs

Prompt injection indirecte

Un attaquant place des instructions malveillantes dans un fichier que l'agent va lire. Par exemple, un commentaire dans un fichier de configuration ou un README contenant des instructions cachees qui modifient le comportement de l'agent. L'agent execute alors des actions non souhaitees par l'utilisateur.

Exfiltration de contexte

L'agent a acces aux fichiers du projet, y compris les fichiers .env, les cles API et les tokens. Un skill malveillant peut exfiltrer ces donnees vers un serveur externe sans que l'utilisateur ne le remarque.

Execution de code non audite

Lorsqu'un agent genere du code et l'execute automatiquement (mode "auto-run"), il n'y a aucune verification humaine entre la generation et l'execution. Un prompt injection peut conduire a l'execution de code arbitraire sur la machine du developpeur.

Les mesures de defense existantes

Outil	Sandboxing	Allowlisting	Audit log
Claude Code	Oui (mode sandbox)	Oui (allowedTools)	Oui
Cursor	Partiel	Non natif	Non
Windsurf	Non	Non	Non
OpenClaw v2.4.1+	Oui (Docker)	Oui (skillAllowlist)	Oui

Le sandboxing ne constitue qu'une defense partielle. Les donnees montrent que les mecanismes de sandbox ne bloquent que 17 % des attaques sur les instances OpenClaw. La raison : la majorite des attaques exploitent des permissions legitimement accordees au skill (acces reseau, lecture de fichiers) plutot que des tentatives d'evasion de sandbox.

Attack patterns : les 5 scenarios a connaitre

Voici les cinq patterns d'attaque les plus frequemment observes lors de la crise OpenClaw, directement transposables a tout ecosysteme de plugins ou d'extensions.

Pattern 1 : le dropper a retardement

Le skill malveillant se comporte normalement pendant une periode donnee (generalement 7 a 14 jours). Passe ce delai, il contacte un serveur de commande et controle (C2) pour telecharger le payload. Les systemes de detection bases sur le comportement post-installation ne detectent rien car l'activite malveillante est deferree.

Sur WordPress : ce pattern est utilise par les backdoors qui attendent un signal externe pour s'activer. Pour comprendre comment detecter ces menaces dormantes, consultez notre guide sur les malwares WordPress courants en 2026.

Pattern 2 : l'escalade progressive

Le skill demande des permissions minimales a l'installation. Puis, lors des mises a jour successives, il ajoute progressivement de nouvelles permissions. Chaque mise a jour prise individuellement semble anodine. L'accumulation des permissions sur plusieurs versions donne au skill un acces complet au systeme.

Pattern 3 : le proxy d'exfiltration

Le skill ne realise pas l'exfiltration directement. Il utilise des services legitimes (DNS, webhooks Slack, logs d'erreur) comme canaux d'exfiltration. Les firewalls et les systemes de detection ne bloquent pas ces canaux car ils correspondent a du trafic normal.

Pattern 4 : le piggyback sur dependances

Le code malveillant n'est pas dans le skill lui-meme mais dans l'une de ses dependances transitives. L'audit du skill ne revele rien. Il faut auditer l'arbre complet des dependances, ce qui est rarement fait.

Sur WordPress : les plugins WordPress incluant des librairies PHP tierces non auditees suivent exactement le meme pattern. Un WAF correctement configure peut attenuer ce risque. Consultez notre guide sur les WAF pour les options de deploiement.

L'attaquant cree un skill utile et populaire, gagne la confiance de la communaute, puis introduit du code malveillant dans une version mineure. Les developpeurs qui font confiance au mainteneur ne verifient pas le diff de chaque mise a jour.

Bonnes pratiques : proteger vos environnements de developpement

Les recommandations suivantes s'appliquent a la fois aux agents IA et aux environnements WordPress. Elles sont classees par ordre de priorite.

1. Isolation par conteneurisation (Docker)

Executez vos agents IA et vos environnements de developpement dans des conteneurs Docker dedies. Le conteneur limite la surface d'attaque en isolant le processus du systeme hote.

# docker-compose.yml pour agent IA isole
services:
  agent:
    image: agent-runner:latest
    security_opt:
      - no-new-privileges:true
    read_only: true
    tmpfs:
      - /tmp
    networks:
      - agent-net
    volumes:
      - ./workspace:/workspace:rw
      # Jamais de montage du repertoire home
      # Jamais de montage du socket Docker
    environment:
      - API_KEY_FILE=/run/secrets/api_key
    secrets:
      - api_key
 
networks:
  agent-net:
    driver: bridge
    internal: true  # Pas d'acces internet direct
 
secrets:
  api_key:
    file: ./secrets/api_key.txt

Points critiques :

read_only: true : le systeme de fichiers du conteneur est en lecture seule
no-new-privileges : empeche l'escalade de privileges via setuid/setgid
internal: true sur le reseau : l'agent n'a pas d'acces internet direct
Les secrets sont montes via le mecanisme Docker Secrets, jamais en variables d'environnement en clair

2. Allowlisting strict des skills et plugins

N'autorisez que les skills et plugins explicitement approuves. Toute autre extension est bloquee par defaut.

{
  "security": {
    "skillPolicy": "allowlist",
    "allowedSkills": [
      "official/file-reader@2.1.0",
      "official/csv-parser@1.4.2",
      "verified/email-sender@3.0.1"
    ],
    "blockUnverified": true,
    "requireSignedPackages": true,
    "autoUpdatePolicy": "manual"
  }
}

Sur WordPress, le meme principe s'applique : maintenez une liste blanche de plugins autorises et bloquez l'installation de tout plugin non approuve. Consultez notre guide sur la protection contre les attaques brute force pour les configurations de securite complementaires.

3. Credential scoping (principe du moindre privilege)

Chaque skill ou plugin ne doit avoir acces qu'aux credentials strictement necessaires a son fonctionnement. Jamais de token "admin" partage entre tous les skills.

# Mauvaise pratique : un seul token pour tout
export OPENAI_API_KEY=sk-...
export DATABASE_URL=postgres://admin:password@host/db
export AWS_ACCESS_KEY_ID=AKIA...
 
# Bonne pratique : scoping par skill
# Le skill "email-sender" n'a acces qu'a la cle SMTP
# Le skill "db-query" n'a acces qu'a un utilisateur DB en lecture seule
# Aucun skill n'a acces aux credentials AWS

Sur WordPress, cela signifie creer des utilisateurs MySQL dedies avec des privileges limites pour chaque plugin qui accede a la base de donnees, plutot que d'utiliser le meme utilisateur root pour tout. Pour une mise en oeuvre detaillee, consultez notre guide sur la protection contre les injections SQL.

4. Audit et monitoring continu

Mettez en place un pipeline de surveillance :

Analyse statique du code de chaque skill/plugin avant installation (SAST)
Monitoring du trafic reseau sortant de vos environnements de developpement
Alertes sur les comportements anormaux : acces a des fichiers sensibles, requetes DNS inhabituelles, connexions a des IP inconnues
Verification des hash de chaque package installe contre les valeurs publiees

# Verifier l'integrite d'un skill installe
sha256sum /path/to/skill/package.tar.gz
# Comparer avec le hash publie sur le registry
curl -s https://registry.openclaw.dev/api/skills/email-sender/2.1.0/integrity

5. Segmentation des pipelines CI/CD

Vos pipelines CI/CD ne doivent jamais executer de skills ou de plugins non audites avec des credentials de production. La segmentation se fait a trois niveaux :

Environnement : les agents IA s'executent dans un environnement isole, sans acces aux secrets de production
Reseau : les runners CI/CD n'ont pas d'acces direct aux bases de donnees de production
Credentials : les tokens utilises en CI/CD ont des permissions limitees (lecture seule, scope restreint, duree de vie courte)

Implications pour les pipelines CI/CD

La crise OpenClaw a mis en lumiere un angle mort majeur : les pipelines CI/CD sont des cibles de choix pour les attaques supply chain.

Le scenario cauchemar

Un developpeur ajoute un skill OpenClaw a son environnement de developpement local
Le skill est un dropper qui attend 14 jours avant de s'activer
Le skill exfiltre les credentials stockees dans le fichier .env local
Parmi ces credentials : un token GitHub avec des permissions write sur le depot principal
L'attaquant utilise ce token pour modifier le workflow GitHub Actions
Le workflow modifie injecte un backdoor dans l'artefact de build
L'artefact compromis est deploye en production

Ce scenario n'est pas theorique. Trois incidents documentes lors de la crise OpenClaw suivent exactement ce cheminement.

Les contre-mesures specifiques CI/CD

Rotation automatique des secrets

Les tokens et credentials utilises dans vos pipelines CI/CD doivent avoir une duree de vie courte (1 heure maximum) et etre generes dynamiquement a chaque execution.

Verification de l'integrite des workflows

Signez vos fichiers de workflow CI/CD et verifiez leur integrite avant chaque execution. Toute modification non autorisee doit bloquer le pipeline.

SBOM (Software Bill of Materials)

Generez un SBOM pour chaque build. Le SBOM liste toutes les dependances (y compris les skills d'agent IA) avec leurs versions et leurs hash. En cas d'incident, le SBOM permet d'identifier rapidement quels builds sont potentiellement compromis.

Isolation des runners

Utilisez des runners ephemeres qui sont detruits apres chaque execution. Aucun etat n'est conserve entre deux runs, ce qui limite la persistance d'un eventuel compromis.

Ce que cela signifie pour la securite WordPress

Si vous gerez des sites WordPress, la crise OpenClaw est un avertissement direct. Les memes patterns d'attaque sont actifs dans l'ecosysteme WordPress depuis des annees, et l'adoption croissante d'agents IA dans les workflows de developpement web amplifie les risques.

Les actions immediates

Auditez vos plugins : verifiez que chaque plugin installe est maintenu activement, provient d'une source fiable et n'a pas de vulnerabilites connues. Consultez notre guide pour securiser WordPress apres un piratage si vous suspectez une compromission
Mettez a jour immediatement : appliquez les patches de securite dans les 24 heures suivant leur publication. Les donnees OpenClaw montrent que le patch diffing permet aux attaquants de creer des exploits en moins de 5 jours
Deployez un WAF : un Web Application Firewall bloque les requetes malveillantes avant qu'elles n'atteignent votre application. Consultez notre guide WAF pour choisir la bonne solution
Verifiez vos fichiers : comparez les fichiers de votre installation WordPress avec les checksums officiels. Toute divergence est suspecte et doit etre investiguee. Notre guide sur les fichiers WordPress infectes detaille la procedure

L'avenir des agents IA en securite web

La crise OpenClaw va accelerer trois tendances :

Standardisation des sandboxes

Les frameworks d'agents IA vont adopter des mecanismes de sandboxing obligatoires, similaires au modele de permissions des navigateurs web. Chaque skill devra declarer explicitement les permissions dont il a besoin, et l'utilisateur devra les approuver.

Registries verifies

Les registries de skills vont implementer des processus de verification plus stricts, incluant l'analyse statique automatisee, la verification d'identite des mainteneurs et la signature cryptographique des packages.

Audit IA de code IA

L'utilisation d'agents IA pour auditer le code d'autres agents IA va se generaliser. Les LLM sont capables d'identifier des patterns de code malveillant que les outils d'analyse statique traditionnels ne detectent pas.

Conclusion

La crise OpenClaw n'est pas un evenement isole. C'est le signal que l'ecosysteme des agents IA reproduit les memes erreurs que l'ecosysteme WordPress a commises il y a dix ans : execution non isolee, registries sans verification, confiance aveugle envers les extensions tierces.

Les 250 829 etoiles et les 42 900 instances deployees dans 82 pays montrent l'appetit du marche pour les agents IA. Les 824 skills malveillants, les 512 vulnerabilites et les 35 000 adresses email compromises montrent le prix de l'adoption sans securite.

Les developpeurs web et les gestionnaires de sites WordPress doivent tirer les lecons de cette crise maintenant, avant que les memes attaques ne se materialisent a l'echelle de leurs propres ecosystemes. L'isolation Docker, l'allowlisting strict, le credential scoping et la segmentation CI/CD ne sont plus des bonnes pratiques optionnelles. Ce sont des prerequis de survie.

FAQ

Qu'est-ce qu'OpenClaw et pourquoi est-il au centre d'une crise de securite ?

OpenClaw est un framework open source d'orchestration d'agents IA qui a atteint 250 829 etoiles GitHub en 60 jours. La crise provient de la decouverte de CVE-2026-25253, une faille critique (CVSS 8.8) permettant l'execution de code a distance sur 93.4 % des instances non patchees, combinee a la campagne ClawHavoc qui a identifie 824 skills malveillants dans le registry officiel.

Qu'est-ce que CVE-2026-25253 et quel est son impact ?

CVE-2026-25253 est une vulnerabilite de type Remote Code Execution (RCE) avec un score CVSS de 8.8. Elle permet a un attaquant de contourner l'authentification d'OpenClaw en exploitant une faille dans la validation des tokens JWT. Au moment de la divulgation, 17 500 instances etaient exposees. L'exploitation massive a debute 5 jours apres la publication du patch, via la technique de patch diffing.

Comment la crise OpenClaw concerne-t-elle les sites WordPress ?

Les architectures sont structurellement identiques : les skills OpenClaw fonctionnent exactement comme les plugins WordPress, c'est-a-dire des extensions tierces s'executant dans le meme contexte que l'application principale. Les memes patterns d'attaque s'appliquent : typosquatting, supply chain attacks, compromission de comptes mainteneurs et droppers a retardement. Si vos plugins WordPress ne sont pas audites et maintenus, vous etes expose aux memes risques.

Le sandboxing suffit-il a proteger un agent IA ?

Non. Les donnees de la crise OpenClaw montrent que les mecanismes de sandbox ne bloquent que 17 % des attaques. La raison principale est que la majorite des attaques exploitent des permissions legitimement accordees au skill (acces reseau, lecture de fichiers) plutot que des tentatives d'evasion de sandbox. Le sandboxing doit etre combine avec l'allowlisting strict, le credential scoping et le monitoring continu.

Quelles sont les mesures prioritaires pour proteger mes pipelines CI/CD ?

Quatre mesures sont prioritaires. Premierement, la rotation automatique des secrets avec une duree de vie courte (1 heure maximum). Deuxiemement, la verification de l'integrite des fichiers de workflow avant chaque execution. Troisiemement, la generation d'un SBOM (Software Bill of Materials) pour chaque build afin de tracer toutes les dependances. Quatriemement, l'utilisation de runners ephemeres detruits apres chaque execution pour empecher la persistance d'un compromis.

Qu'est-ce que l'infostealer AMOS et comment se propage-t-il via OpenClaw ?

AMOS (Atomic macOS Stealer) est un malware ciblent les machines de developpeurs macOS. Dans le contexte OpenClaw, il se propage via des skills malveillants qui executent le payload lors du hook postInstall. AMOS exfiltre les cookies de navigateur, les credentials du Keychain, les wallets de cryptomonnaie et les tokens d'authentification cloud. 12 variantes distinctes ont ete detectees dans les 824 skills malveillants de la campagne ClawHavoc.

Quels pays ou entreprises ont banni OpenClaw ?

Meta a interdit OpenClaw dans tous ses pipelines internes le 9 mars 2026. Naver a bloque l'acces au registry depuis son reseau d'entreprise le 11 mars 2026. Le Cyberspace Administration of China a emis une directive interdisant OpenClaw dans les infrastructures critiques et les services gouvernementaux le 14 mars 2026, avec un delai de 30 jours pour migrer vers des alternatives.

Comment verifier si mes skills ou plugins sont compromis ?

Verifiez l'integrite de chaque package installe en comparant son hash SHA-256 avec la valeur publiee sur le registry officiel. Pour WordPress, utilisez la commande "wp core verify-checksums" pour les fichiers du coeur et inspectez manuellement les repertoires wp-content/plugins/ et wp-content/mu-plugins/. Mettez en place un monitoring du trafic reseau sortant pour detecter les connexions suspectes vers des serveurs de commande et controle.