Signaux de sécurité de ClawHub : lorsque VirusTotal, l'analyse statique et SkillSpector sont en désaccord

Résumé

Les compétences d'agent étendent les agents d'IA avec des instructions, outils, scripts, références et flux de travail réutilisables, établissant une frontière de sécurité distincte à la fois de la sécurité des modèles et de la détection traditionnelle de logiciels malveillants par paquets. ClawHub Security Signals est un ensemble de données nettoyé de 67 453 dernières versions publiques de compétences OpenClaw. Chaque ligne associe le contenu expurgé de SKILL.md et les fichiers groupés nettoyés lorsqu'ils sont présents, avec un verdict final du registre ClawScan et des preuves provenant de trois familles d'analyseurs : VirusTotal, l'analyse heuristique statique et NVIDIA SkillSpector. Plutôt que d'estimer la prévalence des compétences malveillantes, nous étudions le désaccord entre les analyseurs. Les trois analyseurs signalent rarement les mêmes compétences : toute paire se chevauche sur au plus 10,4 % de leurs positifs combinés, seulement 0,69 % des compétences sont signalées par les trois, et 81,9 % des compétences signalées le sont par un seul analyseur. Le désaccord est structuré par la surface d'attaque. SkillSpector, qui émet des avis sémantiques sur les risques agentiques plutôt que des signaux de réputation de malwares, est positif pour 19 209 des 25 504 lignes suspectes (75,3 %) mais seulement pour 14 des 206 lignes malveillantes (6,8 %). La zone des verdicts malveillants montre le profil inverse : 150 des 206 lignes malveillantes (72,8 %) sont positives à VirusTotal, cohérent avec des preuves de code malveillant intégré. Ces résultats montrent que la sécurité des compétences d'agent nécessite une gouvernance en couches, et non des décisions d'autorisation/blocage basées sur un seul analyseur. Le corpus est publié en tant qu'ensemble de données nettoyé de référence argentée : les étiquettes sont les verdicts automatisés du registre, et non une vérité terrain annotée par des humains, et la publication représente un instantané précoce et versionné destiné à soutenir la communauté en attendant le développement d'un sous-ensemble annoté par des humains. Des recherches supplémentaires sont encouragées, y compris des modèles adaptés au tri des compétences pour la sécurité.

English

Agent skills extend AI agents with reusable instructions, tools, scripts, references, and workflows, establishing a security boundary distinct from both model safety and traditional package-malware detection. ClawHub Security Signals is a sanitized dataset of 67,453 latest public OpenClaw skill versions. Each row pairs redacted SKILL.md content and sanitized bundled files where present with a final ClawScan registry verdict and evidence from three scanner families: VirusTotal, static heuristic analysis, and NVIDIA SkillSpector. Rather than estimating malicious-skill prevalence, we study scanner disagreement. The three scanners rarely flag the same skills: any pair overlaps on at most 10.4% of their combined positives, only 0.69% of skills are flagged by all three, and 81.9% of flagged skills are identified by a single scanner. The disagreement is structured by attack surface. SkillSpector, which raises semantic agentic-risk advisories rather than malware-reputation signals, is positive for 19,209 of 25,504 suspicious rows (75.3%) but only 14 of 206 malicious rows (6.8%). The malicious-verdict region shows the inverse profile: 150 of 206 malicious rows (72.8%) are VirusTotal-positive, consistent with bundled-code malware evidence. These results show that agent-skill security requires layered governance, not single-scanner allow/block decisions. The corpus is released as a sanitized silver-standard dataset: labels are the registry's automated verdicts, not human-annotated ground truth, and the release represents an early, versioned snapshot intended to support the community while a human-annotated subset is developed. Further research is encouraged, including models tailored for skill-security triage.