Qu'est-ce qu'OpenClaw ?

OpenClaw est une plateforme d'agents autonomes capable d'exécuter des commandes sur les systèmes d'exploitation des utilisateurs.

Quels sont les risques liés à OpenClaw ?

Les installations d'OpenClaw ont été exposées à des centaines de milliers de vulnérabilités, permettant des accès non sécurisés aux systèmes.

Comment éviter les vulnérabilités des agents autonomes ?

Il est essentiel de vérifier les autorisations, d'utiliser des environnements isolés et de procéder à une surveillance continue.

Quelles sont les implications pour les PME ?

Les PME doivent être conscientes des risques liés à l'externalisation de la sécurité et des coûts associés à des incidents de sécurité.

Quel est l'impact du modèle économique sur la sécurité ?

Un modèle qui priorise la vitesse et l'adoption au détriment de la sécurité peut transférer des risques importants aux utilisateurs finaux.

Agents autonomes : 135 000 exposés, quel risque ?

135 000 agents autonomes exposés et personne dans la salle de crise

À la fin janvier 2026, un chercheur en sécurité a exploré Internet avec Shodan, un outil standard de reconnaissance, et a découvert près de 1 000 installations d'OpenClaw ouvertes au public, sans mot de passe, sans authentification, sans aucun mécanisme de contrôle. Il n'était pas nécessaire d'exploiter une vulnérabilité sophistiquée : il suffisait de savoir où chercher. Depuis ces portes ouvertes, un autre chercheur a accédé aux clés API d'Anthropic, aux tokens de bots Telegram, aux comptes Slack, aux historiques de conversation et a exécuté des commandes avec des privilèges d'administrateur. Quelques semaines plus tard, SecurityScorecard a publié l'ampleur du désastre : plus de 135 000 instances d'OpenClaw exposées dans 82 pays, dont plus de 50 000 étaient vulnérables à l'exécution distante de code et plus de 53 000 étaient liées à des violations antérieures.

Ce n'est pas une histoire de défaillance logicielle. C'est la radiographie d'un modèle économique qui a structuré sa croissance sur une prémisse dangereuse : que l'adoption massive et la sécurité pouvaient être des problèmes séquentiels. D'abord croître, ensuite protéger. Le marché a démontré, avec une précision implacable, que cette séquence a un coût que le développeur ne paie pas.

Quand le produit vedette est la clé de votre maison

OpenClaw, renommé depuis Clawdbot dans les mois précédents, a séduit le marché avec une proposition concrète : un agent autonome capable d'exécuter des commandes sur le système d'exploitation, de gérer des fichiers, de se connecter à des applications de messagerie et de fonctionner via un marché ouvert de compétences appelé ClawHub. Son principal atout n'était pas l'interface ni le modèle de langage sous-jacent, mais le niveau de privilèges qu'il obtenait sur le système de l'utilisateur. Accès natif au shell. Intégration directe avec les identifiants stockés. Connectivité sans friction avec des services externes.

Cette architecture de privilèges maximaux, combinée à des configurations par défaut qui faisaient aveuglément confiance aux connexions depuis localhost sans authentification, a créé une surface d'attaque sans précédent. Lorsque ces installations se trouvaient derrière des proxys inversés mal configurés, l'interface d'administration était exposée à toute connexion externe. Ce n'était pas une erreur utilisateur : c'était le comportement attendu du système par défaut.

Une audit effectué à la fin janvier 2026, alors que la plateforme fonctionnait encore comme Clawdbot, a identifié 512 vulnérabilités, dont huit critiques. Parmi les vecteurs documentés : injection de prompts via des aperçus de liens dans les messages, permettant l'exfiltration de données vers des domaines contrôlés par des attaquants sans que l'utilisateur n'ait besoin de cliquer sur quoi que ce soit ; chaînes de vulnérabilités permettant la prise de contrôle complète de l'agent depuis un site web, sans nécessiter l'installation d'aucun complément ; et absence de limites sur les tentatives d'authentification, facilitant l'accès par force brute.

Entre le 27 janvier et le 1er février 2026, une période que les chercheurs ont internalisée sous le nom de "ClawHavoc", plus de 230 extensions malicieuses ont été publiées sur ClawHub et GitHub, téléchargées des milliers de fois. Reco.ai a confirmé que 341 des 2 857 compétences enregistrées dans le dépôt étaient malicieuses, soit 12 % du catalogue total, conçues pour imiter des outils de trading et de finance tout en installant en arrière-plan des programmes pour voler des identifiants, des phrases secrètes de portefeuilles cryptographiques et des données de session de navigateur.

Le marché ouvert comme vecteur de risque systémique

ClawHub était, sur le papier, l'avantage compétitif d'OpenClaw. Un dépôt ouvert où n'importe quel développeur pouvait publier des compétences que d'autres utilisateurs installeraient d'un simple clic. Le modèle réplique la logique des places de marché d'applications mobiles, avec une différence structurelle qui le rend incomparable en termes de risque : les compétences d'OpenClaw n'opèrent pas dans un environnement isolé. Elles exécutent des commandes directement sur le système d'exploitation de l'utilisateur.

Lorsque Cisco a appliqué son outil d'analyse à plusieurs de ces compétences, il a trouvé deux d'une criticité maximale et cinq de haute sévérité. Certaines exécutaient des commandes `curl` pour exfiltrer des données vers des serveurs externes pendant des opérations apparemment routinières. D'autres employaient des injections de prompts pour contourner les mécanismes de sécurité internes de l'agent. Kaspersky a été direct dans son évaluation : OpenClaw était, dans cet état, dangereux pour toute utilisation.

L'analogie la plus proche n'est pas celle d'un navigateur avec des extensions malicieuses. C'est celle d'un employé avec un accès total à tous les systèmes d'une entreprise, à qui n'importe qui dans la rue peut donner des instructions par écrit, et qui exécutera ces instructions parce que ses règles internes ne distinguent pas les ordres légitimes des ordres manipulés. L'injection de prompts transforme le langage naturel, l'interface d'OpenClaw, en un vecteur d'attaque. Et un marché sans modération efficace transforme ce vecteur en infrastructure criminelle prête à s'étendre.

Le PDG d'Archestra.AI a démontré dans des conditions contrôlées comment un courriel pouvait inciter l'agent à extraire des clés privées. Un utilisateur de Reddit a reproduit le résultat sans avoir besoin d'aucun prompt spécifique. Oasis Security a documenté une chaîne complète de vulnérabilités permettant la prise silencieuse de l'agent depuis n'importe quel site web, classée comme haute sévérité, qui a été patchée en 24 heures après sa divulgation dans la version 2026.2.25. CNCERT, l'organisme de réponse aux urgences cybernétiques de la Chine, a émis des alertes formelles. Les autorités chinoises ont interdit OpenClaw sur les ordinateurs gouvernementaux, les entreprises d'État et les appareils des familles militaires.

L'économie du risque externalisé

C'est ici que l'analyse du modèle commercial devient inconfortable. OpenClaw n'a pas conçu ses configurations par défaut peu sûres par négligence esthétique. Elles ont été conçues pour minimiser la friction d'installation et maximiser la vitesse d'adoption. Chaque étape de configuration supplémentaire dans le processus d'intégration réduit le taux de conversion. Chaque décision que l'utilisateur doit prendre avant de commencer à utiliser le produit est une opportunité d'abandon. Cette logique, parfaitement rationnelle du point de vue de la croissance des utilisateurs, transfère le coût du risque à celui qui a le moins de capacité à le gérer : l'utilisateur final.

Les plus de 50 000 instances vulnérables à l'exécution à distance de code ne représentent pas une défaillance des utilisateurs. Elles représentent le résultat prévisible d'un modèle qui a optimisé une seule variable, l'adoption, et a laissé toutes les autres comme des problèmes pour l'écosystème. Les entreprises du secteur financier et énergétique que le CNCERT a signalées comme particulièrement exposées n'ont pas consciemment choisi d'accepter ce risque. Elles l'ont hérité d'une architecture qui ne leur a jamais demandé si elles voulaient l'assumer.

Le coût réel de ce risque externalisé n'apparaît pas dans le bilan d'OpenClaw. Il se manifeste dans les équipes de sécurité des entreprises qui ont déployé l'agent, dans les budgets de réponse aux incidents, dans les données de clients compromises, dans les clés API révoquées et régénérées, dans les heures d'audit forensique. La vitesse d'adoption d'OpenClaw a été, en partie, financée involontairement par ses propres utilisateurs.

Ce n'est pas exclusif à OpenClaw. C'est le schéma structurel de toute plateforme qui monétise la distribution sans internaliser le coût de la fiabilité. Les marchés de dépôts ouverts, des extensions de navigateur aux paquets de code, ont prouvé à maintes reprises que la modération ne s'échelonne pas gratuitement. Les 12 % de compétences malicieuses sur ClawHub ne constituent pas une anomalie statistique ; c'est le résultat attendu d'un système sans incitations économiques alignées pour les détecter et les retirer avant qu'elles n'accumulent des milliers de téléchargements.

Privilèges maximaux, responsabilité minimale

Les agents autonomes d'IA représentent un saut qualitatif par rapport aux modèles de langage conversationnels. Un chatbot qui se trompe génère une réponse incorrecte. Un agent autonome avec accès au système d'exploitation qui fonctionne sous des instructions manipulées peut exfiltrer des fichiers, exécuter du code arbitraire, détruire des données de manière irréversible ou compromettre tous les identifiants stockés sur le dispositif. La surface de dommage n'est pas proportionnelle à celle du logiciel conventionnel.

Cette asymétrie entre capacité et responsabilité est la faille stratégique qu'aucun patch logiciel ne résout à lui seul. OpenClaw a émis le CVE-2026-25253 le 29 janvier, l'a patché le 30 dans la version 2026.1.29, et a fermé la chaîne d'Oasis dans la 2026.2.25 en moins de 24 heures. La rapidité de la réponse technique a été remarquable. Mais les 135 000 nœuds exposés ne se mettent pas à jour tout seuls, et les 341 compétences malicieuses déjà téléchargées ne se désinstallent pas avec un bulletin de sécurité.

Les entreprises qui évaluent le déploiement d'agents autonomes dans leurs opérations font face à une décision d'architecture, et non de technologie. Accorder à un système autonome des privilèges de niveau administrateur sur des infrastructures critiques, sans isoler ces capacités dans des environnements contenus, sans auditer chaque compétence installée et sans surveillance continue des comportements anormaux, c'est transférer le contrôle opérationnel à un système dont la surface de manipulation est le langage naturel. Et le langage naturel n'a pas de pare-feu.

Le mandat pour toute personne de niveau exécutif évaluant cette catégorie d'outils est clair : le modèle commercial d'un fournisseur d'agents autonomes doit révéler explicitement comment il internalise le coût de la sécurité, qui paie la modération du marché, quels mécanismes d'isolement sont actifs par défaut et que se passe-t-il lorsqu'un agent fonctionne sous des instructions manipulées. Si ces réponses ne figurent pas dans le contrat, elles se trouvent dans le budget de réponse aux incidents du client. Les dirigeants qui déploieront ces outils comme s'ils étaient des logiciels de productivité conventionnels découvriront que le véritable prix de l'autonomie est fixé par l'attaquant, et non par le fournisseur.