Sécurité · IA Agentique

OpenClaw : puissant,
mais dangereux

L'agent IA qui tourne sur votre machine et gère votre vie numérique affole GitHub — 150 000 étoiles en quelques semaines. Avant de foncer tête baissée, voici ce que vous devez savoir.

📅 Mars 2026 ⏱ Lecture : 6 min 🏷 Sécurité, LLM, Infrastructure
150k Étoiles GitHub
en quelques semaines
5 Vecteurs d'attaque
principaux identifiés
CVE Vulnérabilités déjà
signalées & corrigées

Qu'est-ce qu'OpenClaw ?

OpenClaw se présente comme « l'IA qui agit vraiment » : elle vide votre boîte mail, envoie des e-mails, gère votre calendrier et effectue des réservations — le tout piloté depuis WhatsApp, Telegram ou n'importe quelle messagerie. Le projet a atteint des chiffres de croissance sur GitHub qui surpassent des dépôts aussi établis que Next.js, en une fraction de temps.

« Tout le monde veut en installer un. Des amis empilent des Mac minis dans leur placard pour en faire des assistants dédiés. »

L'enthousiasme est compréhensible. Mais l'afflux massif de profils non techniques sur le « hype train » rend d'autant plus urgente une mise au point sur les risques réels que ce type de logiciel introduit.

Comment ça fonctionne

OpenClaw instancie des sessions LLM dans un environnement d'exécution dédié. Le modèle dispose d'un accès aux fichiers, à la navigation web et à l'exécution de code arbitraire. L'utilisateur interagit par messagerie ; l'agent infère les intentions et agit de façon quasi autonome, via un plan de contrôle exposé en WebSocket.

⚠️ Point clé : vous déléguez le contrôle de votre machine à un système non déterministe. Un LLM peut inférer une mauvaise intention, exécuter du code que vous n'avez pas demandé, ou agir sur des instructions qui ne viennent pas de vous.

Risques architecturaux

Le problème n'est pas un bug isolé — c'est une catégorie de risque inhérente à ce type d'architecture. En créant un agent local avec son propre plan de contrôle, ses tokens, son interface web et ses outils d'exécution, vous fabriquez une cible d'attaque à très haute valeur.

Risque Entrées non fiables
Injection de prompt depuis une page web visitée L'agent agit sans que vous en soyez informé Atténué par des listes blanches d'expéditeurs
Risque Outils surpuissants
Accès root = droits illimités sur la machine Exécution de code arbitraire choisi par le LLM Atténué par sandboxing Docker + non-root
Critique Secrets & identifiants
Tokens API et clés d'auth stockés sur la machine Risque de fuite via l'agent lui-même À stocker impérativement en variables d'environnement
Exposition Accès réseau
Instance exposée sur internet = cible directe Connexions sortantes non maîtrisées par défaut Pare-feu strict + SSH depuis une IP de confiance uniquement

Les 5 vecteurs d'attaque

  • Entrées non fiables (prompt injection depuis le web, e-mails malveillants…)
  • Outils trop puissants et insuffisamment cloisonnés
  • Accès aux secrets, tokens et clés d'authentification
  • Intégrations tierces (Google, calendrier, messageries…)
  • Exposition réseau non contrôlée de l'instance

Des CVE ont déjà été publiés sur le projet, dont un permettant l'exécution de code arbitraire, et un autre permettant le vol de clés via une attaque en un clic. Ces vulnérabilités ont été corrigées — mais l'important n'est pas le bug ponctuel : c'est le risque systémique que cette catégorie de logiciel représente.

Comment se protéger

Il est recommandé de traiter OpenClaw comme une infrastructure de production. Voici les étapes clés :

  • Étape 1 Sandboxing Docker Exécuter l'instance dans un conteneur isolé pour limiter les dommages potentiels au container seul, et non à la machine hôte.
  • Étape 2 Sans privilèges root Ne jamais accorder les droits root à l'agent. Root = droits illimités sur le système, ce qu'un LLM n'a aucune raison d'avoir.
  • Étape 3 Listes blanches d'accès Configurer des profils : seul l'expéditeur autorisé (votre user ID) déclenche les outils et l'accès complet. Tout autre message est bloqué.
  • Étape 4 Protection des secrets Stocker tokens, clés API et identifiants dans des variables d'environnement — jamais en clair dans des fichiers de config.
  • Étape 5 — Prioritaire Restriction réseau stricte SSH entrant depuis une seule IP de confiance. Toutes les autres règles inbound fermées. Liste blanche explicite des destinations sortantes autorisées.

Attention aux skills communautaires

OpenClaw permet d'étendre ses capacités via des « skills » téléchargeables depuis des dépôts communautaires comme Claude Hub. Or, ces plugins sont à traiter exactement comme des exécutables arbitraires.

🔌 La modération de ces dépôts n'est pas garantie. Des instructions malveillantes pour agents IA peuvent s'y glisser. Auditez chaque skill avant de l'adopter, sans exception.

Conclusion

OpenClaw n'est pas un jouet. C'est un plan de contrôle qui doit être déployé avec la rigueur d'une infrastructure de production. Si vous n'êtes pas prêt à mettre en place l'ensemble des mesures de sécurité décrites ci-dessus, ne prenez pas le risque.

« Traitez OpenClaw comme de l'infrastructure de production — ou ne le déployez pas du tout. »

Maintenez l'installation à jour, lisez la documentation officielle, et consultez régulièrement les résultats de la commande d'audit de sécurité intégrée, récemment enrichie par le mainteneur du projet.

Article basé sur la vidéo de Monsieur Goosewin — traduit & adapté pour GCS.NC · Mars 2026