Qu'est-ce qui change ?
Les agents IA comme Claude Code ou OpenClaw s'appuient sur un écosystème de skills (extensions MCP - Model Context Protocol) pour étendre leurs capacités. Snyk vient de publier la première analyse de sécurité exhaustive de ClawHub, le principal hub de distribution de ces skills. Résultat : sur 3 984 skills analysés, 36,82% contiennent au moins une vulnérabilité de sécurité, et 13,4% présentent des risques critiques.
Les chercheurs ont identifié trois vecteurs d'attaque principaux : la distribution de malware externe (liens vers binaires malveillants, souvent dans des archives ZIP protégées par mot de passe pour contourner les scans), l'exfiltration obfusquée de données (commandes base64 ciblant AWS credentials et API keys), et la désactivation des mécanismes de sécurité (modification de services système pour installer des backdoors).
Les chiffres de la campagne ToxicSkills
| Métrique | Valeur | Impact |
|---|---|---|
| Skills analysés | 3 984 | Écosystème ClawHub complet |
| Skills avec failles | 1 467 (36%) | Plus d'un tiers du catalogue compromis |
| Vulnérabilités critiques | 534 (13.4%) | Risque immédiat d'exploitation |
| Malwares confirmés | 76 payloads | Validation manuelle par HITL |
| Skills encore actifs | 8 | Menace persistante au 9 février 2026 |
Pire encore : 91% des skills malveillants combinent prompt injection et code malveillant. Un skill infecté peut d'abord manipuler les réponses de l'agent pour biaiser ses recommandations, puis exécuter du code système pour voler des credentials. Cette double couche d'attaque rend la détection particulièrement complexe.
Quel impact pour les équipes DevOps et Security ?
Si vous utilisez Claude Code, OpenClaw, ou tout agent IA avec des skills/MCP, vous êtes potentiellement exposé. Les attaquants ciblent spécifiquement les credentials AWS, API keys, et secrets stockés localement. Autre découverte : 10,9% des skills contiennent des secrets hardcodés, et 17,7% récupèrent du contenu tiers non vérifié, ouvrant la porte à des injections indirectes.
Quatre acteurs malveillants ont été identifiés : l'utilisateur zaycv (40+ skills suivant un pattern de génération automatisée de malware), Aslaep123 (skills crypto/trading ciblant des credentials haute valeur), moonshine-100rze et le compte GitHub aztr0nutzs maintenant des dépôts prêts à déployer. Au moment de la publication Snyk, 8 skills de ces auteurs restaient actifs sur clawhub.ai.
L'analogie avec npm, PyPI ou les registries Docker est évidente : les skills d'agents IA sont une nouvelle surface d'attaque supply chain. Pourtant, contrairement aux package managers traditionnels qui ont développé des mécanismes de scanning et de signature, l'écosystème MCP en est à ses débuts en matière de sécurité.
Notre analyse
Bien que cette campagne ToxicSkills — initialement documentée par OpenSourceMalware.com puis auditée en profondeur par Snyk — soit encore jeune, nous pensons que le risque est déjà systémique. Les équipes qui ont adopté Claude Code ou OpenClaw pour accélérer leur productivité doivent impérativement auditer leur supply chain de skills.
Snyk propose un outil open-source mcp-scan offrant 90-100% de détection sur les menaces confirmées sans faux positifs. La recommandation immédiate : scanner tous les skills installés, blacklister les auteurs identifiés (zaycv, Aslaep123, moonshine-100rze, pepe276), et n'installer que des skills de sources vérifiées.
Plus structurellement, il faut appliquer aux skills IA la même rigueur qu'aux dépendances logicielles : review de code, principes de moindre privilège, sandboxing des exécutions, et idéalement un registry interne avec validation avant déploiement. Les équipes Platform Engineering devront intégrer cette nouvelle dimension dans leurs pipelines CI/CD.
