Après la campagne supply-chain ClawHavoc au début 2026, de nombreuses équipes hésitent à installer des skills tiers depuis ClawHub, alors que l'écosystème plugin reste indispensable. Ce guide s'adresse aux équipes dont le Gateway est opérationnel et qui préparent un déploiement production de skills ClawHub : runbook sécurité avec clawhub inspect, clawhub pin, whitelist allowBundled, montée en charge progressive (lecture seule → écriture → appels système), rotation des clés et validation openclaw doctor—en complément du guide d'installation, du durcissement Gateway et de la whitelist MCP.
Dès février 2026, des équipes sécurité ont documenté une campagne d'empoisonnement massif du registre officiel OpenClaw ClawHub, baptisée ClawHavoc : des skills déguisés en outils crypto, YouTube ou productivité exploitaient le ClickFix 2.0—ingénierie sociale dans SKILL.md avec prérequis du type curl | bash—pour voler clés API, variables d'environnement, voire déployer des infostealers macOS ou des reverse shells Windows. Koi Security a estimé jusqu'à 12 % d'entrées malveillantes ; OpenClaw a renforcé la modération Phase 2. La modération registry ne remplace toutefois pas votre gouvernance runtime.
Les skills s'exécutent avec les privilèges du processus Gateway. Un seul plugin compromis peut lire l'ensemble des clés Provider visibles par l'agent—un risque direct pour les workflows créatifs et d'automatisation qui s'appuient sur du matériel Apple en production.
Traiter ClawHub comme npm sans filtre : installation aveugle parce que le package est listé.
Se fier aux étoiles et téléchargements : ClawHavoc a utilisé du gonflement artificiel et l'usurpation de slugs.
Ignorer SKILL.md : les instructions malveillantes se cachent souvent sous « préparation environnement ».
Mélanger expérimentation et production : ./skills et ~/.openclaw/skills partagent des droits d'écriture entre agents.
Corriger le CVE sans inventaire skills : après CVE-2026-25253, les skills malveillants historiques restent sur disque.
Découpler la whitelist MCP : nouveaux outils introduits par un skill sans entrée dans openclaw.json.
| Source | Coût d'audit | Phase adaptée | Risque principal |
|---|---|---|---|
| Bundled (npm) | Faible ; avec allowBundled | Baseline production | Fonctions limitées ; upgrade lié à OpenClaw |
| Skills internes ./skills | Maîtrisé ; PR interne | Personnalisation prod | Maintenance ; pin de version |
| ClawHub haute réputation | Moyen ; inspect + lecture SKILL.md | Staging / lecture seule | Compte auteur compromis ; diff malveillant à la mise à jour |
| ClawHub récent / peu de downloads | Élevé ; VM isolée | Expérimentation seule | Clone ClawHavoc, ClickFix |
| Première installation | — | Onboarding | Voir guide ClawHub |
« Registry clean » signifie que le scan actuel a passé. Votre standard production : qui a installé, quelle version, quelles clés sont atteignables, rollback en dix minutes.
Prérequis : Gateway permanent via openclaw onboard --install-daemon. Isolation Docker : volumes Compose production ; Linux systemd : Ubuntu systemd.
Inventaire : openclaw skills list et clawhub list ; documenter slug, version, chemin (workspace ./skills vs ~/.openclaw/skills).
inspect avant install : clawhub search "mot-clé" → clawhub inspect <slug> ; verdict modération, portfolio auteur, changelog suspect.
Test isolé : workspace non production, clawhub install <slug> ; lire SKILL.md intégralement ; rejeter curl/bash hors domaines officiels.
pin + lecture seule : après validation clawhub pin <slug> ; agent sans écriture/exec initialement ; avec approbation exec et networkPolicy.
Whitelist allowBundled : dans openclaw.json, skills.allowBundled limité aux bundled + slugs épinglés ; autres installs via ticket de changement.
doctor et observation : openclaw doctor --deep ; openclaw logs --follow après nouvelle session ; recoupement registre outils MCP.
# 2026 ClawHub production — audit → test → pin → whitelist openclaw skills list clawhub list clawhub search "summarize" clawhub inspect summarize-web --version latest # Workspace isolé (exemple) cd ~/openclaw-staging && clawhub install summarize-web grep -R "curl\|bash\|wget" skills/*/SKILL.md clawhub pin summarize-web openclaw config set skills.allowBundled '["memory-core","summarize-web"]' openclaw gateway restart openclaw doctor --deep
Conseil : clawhub update --all contourne la discipline du pin—en production, cron piloté par tickets avec re-inspect en staging.
Attention : si SKILL.md exige d'exporter des clés API dans le profil shell, préférez openclaw configure ou SecretRef pour éviter les secrets en clair dans l'environnement Gateway.
En cas de skill suspect : coupure des droits → nettoyage → rotation.
Arrêter le Gateway : openclaw gateway stop ou systemd stop—couper l'outbound.
Désinstaller le skill : clawhub uninstall <slug> ou supprimer skills/<slug>/ ; vérifier crontab/LaunchAgent.
Rotation credentials : toutes les clés LLM Provider, Brave Search, token Gateway (gateway.auth.token) ; consoles pour pics anormaux.
Re-validation : openclaw doctor --fix et dépannage auth.
Tester des skills sur un MacBook partagé ou un VPS mutualisé mélange souvent répertoires d'expérimentation et Gateway production sous le même utilisateur—exposition des clés Provider. La virtualisation macOS non supportée ajoute une dette de signature et de compatibilité Metal difficile à justifier dans un pipeline créatif professionnel.
Le flux staging → pin → promotion production gagne en fiabilité sur un nœud macOS dédié, snapshotable et accessible en SSH—comme pour un VPS, mais avec l'écosystème Apple natif. Pour les équipes qui orchestrent agents IA et builds iOS sur la même machine, la location Mac Mini cloud de NodeMini constitue généralement la base la plus stable—alignée avec le Gateway launchd distant, sans mélanger tests de skills malveillants et clés production sur un poste personnel.
Oui, avec audit avant installation : inspect, pin, allowBundled en production. Bases : guide ClawHub.
allowBundled contrôle quels skills sont chargés ; la whitelist MCP quels outils externes ils peuvent appeler. Voir article MCP.
Séparer test et production ; specs et tarifs : tarifs location, connexion : centre d'aide.