ClawHub : le guide complet de la marketplace OpenClaw — Blog OKB

# ClawHub : le guide complet de la marketplace OpenClaw — Blog OKB

ClawHub est la marketplace officielle des Skills OpenClaw : un catalogue communautaire open source où les développeurs et agences publient, versionnent et partagent des modules de compétence prêts à l'emploi pour le framework OpenClaw. Selon les statistiques publiées sur clawhub.io en avril 2026, la marketplace référence plus de 4 000 Skills actifs répartis en 12 catégories, avec un volume cumulé de 2 millions de téléchargements. Chez OKB Agency, on consomme en moyenne 30 % de Skills ClawHub audités et 70 % de Skills internes sur nos déploiements — c'est le ratio qui optimise le rapport qualité/time-to-market sur 15+ projets OpenClaw clients entre 2024 et 2026.

Points clés

- ClawHub = le "npm des agents IA" avec 4 000+ Skills en avril 2026

- 3 usages : consommer, publier, gérer une organisation privée

- 6 critères d'évaluation avant installation : badges, usages, dates, permissions

- 3 risques sécurité à connaître : skills malveillants, supply chain, fuite de données

Dans ce guide, on détaille à quoi sert ClawHub concrètement, comment installer un skill avec verrouillage de version, comment publier son premier skill, comment évaluer la qualité en 30 secondes, les 3 risques sécurité documentés, et le comparatif avec les Skills Claude officiels.

→ [Guide complet OpenClaw en français](/blog/openclaw-guide-complet-francais)

À quoi sert ClawHub concrètement

ClawHub est une marketplace open source où les modules OpenClaw (Skills) s'échangent selon le même modèle que npm pour Node.js, PyPI pour Python, ou Docker Hub pour les images Docker : un lieu unique où récupérer, partager et versionner des briques réutilisables.

Trois usages coexistent selon votre profil :

Consommateur — vous cherchez un skill qui fait « résumé de PDF commercial » ou « rédaction de fiche produit Shopify ». Vous tapez votre besoin, vous trouvez plusieurs skills publiés par la communauté, vous les installez dans votre OpenClaw en une commande.

Producteur — vous avez développé un skill qui fonctionne bien chez vous. Vous le publiez pour le partager, récolter des retours, ou gagner en visibilité professionnelle.

Équipe / entreprise — vous gérez un espace privé sur ClawHub (les "organisations", payantes) pour partager des skills en interne entre vos collaborateurs, sans publication publique.

Selon les données communautaires publiées sur clawhub.io, les 12 catégories se répartissent ainsi en avril 2026 :

Installer un skill depuis ClawHub

La commande est calquée sur npm ou pip pour rester intuitive :

bash
openclaw skill install @anthropic-labs/pdf-summarizer

Cette commande enchaîne 4 étapes en arrière-plan :

Télécharge le skill depuis ClawHub

Vérifie la signature cryptographique du publisher

L'installe dans votre dossier skills/ local

Met à jour votre openclaw.lock pour verrouiller la version

Le verrouillage de version est essentiel. Sans lui, vous vous exposez à ce qu'un skill change de comportement entre deux exécutions, ou qu'un attaquant compromette une version future. La règle OKB : on épingle toujours la version exacte (@1.2.3) en production, jamais @latest.

Anatomie d'une fiche ClawHub

Avant d'installer, on lit. Une fiche skill bien remplie contient 8 blocs. Les 3 en gras ne sont jamais à ignorer.

Nom et namespace (@publisher/nom-skill)

Description et cas d'usage

Permissions requises — quels outils le skill demande (lecture CRM ? écriture fichier ? accès web ?)

Dépendances (autres skills ou MCP nécessaires)

Historique des versions

Badge de vérification — si le publisher a été audité par l'équipe ClawHub

Statistiques (installations actives, note, skills dérivés)

Lien vers le code source (99 % des cas sur GitHub public)

La section permissions est celle qu'on ne doit jamais sauter. Un skill qui demande write:filesystem alors qu'il fait « résumé de texte » est suspect. À ignorer sans état d'âme.

Les 6 critères d'évaluation en 30 secondes

Avant d'installer un skill en production, on valide ces 6 critères. Ça prend 30 secondes, ça évite 3 semaines de debug.

Un skill qui coche tous les critères peut être installé directement. Un skill qui en rate 2+ doit être évité même s'il répond parfaitement au besoin — vous passerez plus de temps à le debugger que vous n'économisez.

On a eu le cas en 2025 : un skill linkedin-enricher à 120 stars sur ClawHub mais dernière mise à jour 14 mois avant, et 0 issue ouverte. On l'a installé quand même pour gagner du temps. Résultat : 3 semaines de galère, APIs LinkedIn changées, retour à l'écriture d'un skill maison en 2 jours. Depuis, la règle des 6 critères est non négociable — Florent Jacques, Fondateur & CTO OKB Agency.

Publier son premier skill sur ClawHub

Prérequis : un compte ClawHub (gratuit, inscription en 2 min) et un skill OpenClaw fonctionnel localement.

Étape 1 — Structurer le skill

mon-skill/
├── SKILL.md           # Documentation du skill
├── metadata.yaml      # Métadonnées ClawHub
├── examples/          # Exemples d'input/output
├── CHANGELOG.md
└── README.md

Le fichier metadata.yaml est spécifique à ClawHub :

yaml
name: nom-du-skill
version: 1.0.0
description: Description courte en une phrase
author: florent-jacques
license: MIT
permissions:
  - read:text-input
  - write:text-output
tags: [rédaction, marketing, b2b]
requires:
  - openclaw: ">=0.8.0"

Étape 2 — Publier

bash
openclaw skill publish

La CLI vous demande de confirmer les permissions déclarées, vérifie que le fichier SKILL.md respecte le format standard, signe cryptographiquement la version, puis pousse sur ClawHub. Le skill est disponible dans les 30 secondes après validation.

Étape 3 — Maintenir

Chaque montée de version passe par openclaw skill publish avec un numéro incrémenté selon Semver. Les utilisateurs qui ont épinglé une version ne sont pas affectés ; ceux qui suivent latest reçoivent la nouvelle. Respectez Semver strictement — une montée mineure qui casse un usage existant détruit votre réputation de publisher.

Licences et propriété intellectuelle

Point souvent négligé : publier un skill, c'est publier du contenu sous licence. ClawHub accepte les licences Open Source standards (MIT, Apache 2.0, GPL) ou des licences commerciales.

Si votre skill encode du savoir-faire réellement différenciant (votre ICP, vos angles, votre méthodologie), ne le publiez pas publiquement. Créez une organisation privée sur ClawHub ou gardez-le dans votre marketplace interne.

Ce qu'on publie sur un espace public : des skills génériques, des briques techniques, des patterns. Pas votre propriété intellectuelle commerciale. C'est la règle qu'on applique chez OKB : nos skills propriétaires clients restent dans les orgs privées, on ne publie que les briques génériques.

→ [Marketplace interne de Skills Claude en entreprise](/blog/skills-claude-marketplace-entreprise)

Les 3 risques sécurité à connaître

Trois risques bien réels sur une marketplace ouverte. Identiques à ceux de npm, PyPI ou Docker Hub — discipline similaire.

Risque 1 — Le skill malveillant déguisé. Un skill qui, sous couvert de « rédiger un email », exfiltre en douce le contenu des données qu'on lui donne. Contre-mesure : vérifier les permissions MCP demandées, lire le code du skill si publié en repo public, ne jamais installer un skill non vérifié en l'exécutant en production sans audit. Risque 2 — Le supply chain attack. Un skill légitime dont une version récente a été compromise après rachat de compte — scénario déjà vu sur npm en 2024. Contre-mesure : épingler les versions en production, reviewer les changelogs avant de mettre à jour, suivre les annonces de sécurité ClawHub. Risque 3 — La fuite de données sensibles. Un skill qui logue discrètement les inputs chez son publisher. Contre-mesure : lancer les skills dans un environnement sandboxé, inspecter le trafic sortant via un proxy de log quand le skill traite des données critiques (CRM, emails, données RH).

Aucun de ces risques n'est spécifique à ClawHub. La discipline est la même que sur n'importe quel écosystème open source. En revanche, ClawHub étant plus jeune, le filet communautaire (détection rapide des skills malveillants) est moins dense qu'npm. D'où la nécessité d'une discipline personnelle plus stricte.

ClawHub vs Skills Claude officiels : quel choix

Les deux ne se concurrencent pas vraiment — ils adressent des besoins distincts.

En pratique, beaucoup d'équipes utilisent les deux : Skills officiels pour les cas d'usage standards et sensibles, ClawHub pour les besoins métier spécifiques et les expérimentations. C'est notre pattern OKB chez la plupart des clients. → [OpenClaw vs Claude Code : quel framework d'agents IA choisir](/blog/openclaw-vs-claude-code-comparatif) → [Skills Claude : le guide complet pour automatiser votre entreprise](/blog/skills-claude-guide-complet)

FAQ

ClawHub est-il gratuit ?

Oui pour la consommation publique et la publication individuelle. Les organisations privées (hosting de skills internes avec contrôle d'accès) sont payantes. Tarif annoncé début 2026 : ~15 $/mois par organisation, ~5 $/mois par siège.

Puis-je héberger mon propre ClawHub en interne ?

Oui, ClawHub propose une version self-hosted (ClawHub Enterprise) déployable sur votre infrastructure. Recommandé pour les organisations de plus de 200 personnes ou avec des exigences de souveraineté data.

Comment retirer un skill publié par erreur ? openclaw skill unpublish @votre-nom/nom-skill --version 1.0.0 retire une version. Retirer un skill entier nécessite une procédure manuelle via le support pour protéger les utilisateurs qui l'ont déjà installé — c'est une contrainte de stabilité écosystème, pas un bug. Combien de skills sont disponibles sur ClawHub en avril 2026 ?

4 000+ skills publics selon les stats officielles, avec une dizaine de publishers vérifiés très actifs qui maintiennent des catalogues spécialisés. La croissance est rapide depuis fin 2025 : +30 % de skills trimestriels selon les annonces ClawHub.

ClawHub est-il officiellement soutenu par Anthropic ?

Non, c'est un projet communautaire open source indépendant. Il fonctionne avec les modèles Claude mais n'est ni édité ni validé par Anthropic. En revanche, ClawHub implémente nativement le protocole MCP créé par Anthropic, ce qui crée une compatibilité de fait avec l'écosystème Skills Claude.

Quel est le processus de vérification d'un publisher ?

Pour obtenir le badge "Verified" sur ClawHub : minimum 3 skills publiés depuis >6 mois, >1000 installations cumulées, 0 report sécurité non résolu, identité vérifiée (LinkedIn ou équivalent). Les agences professionnelles comme OKB peuvent aussi demander une vérification accélérée via le support.

Peut-on forker un skill existant ?

Oui, 100 % des skills publiés sous licence open source (MIT, Apache, GPL) peuvent être forkés via GitHub puis republiés sous un namespace différent. Attention : créditez l'auteur original dans le README, et respectez la licence de départ — certaines (GPL) imposent que le fork reste sous la même licence.

--- Besoin d'accompagnement pour structurer votre usage de ClawHub en entreprise ? L'équipe OKB Agency cadre votre stratégie skills open source, gouvernance comprise. [Prenons 30 minutes pour en discuter](/contact).