OpenClaw : quand votre assistant IA obéit mieux aux autres qu’à vous

OpenClaw — anciennement Clawdbot puis Moltbot — est l’agent IA auto-hébergé qui a déclenché en janvier 2026 la plus grande crise de sécurité de l’écosystème des agents IA autonomes.

Le 14 janvier 2026, Peter Steinberger — développeur autrichien, fondateur de PSPDFKit — publie sur GitHub un projet personnel qu’il appelle Clawdbot. L’idée séduit immédiatement : un assistant IA auto-hébergé, en forme de homard, capable de contrôler votre ordinateur, répondre à vos messages sur différentes plateformes, exécuter des tâches de manière autonome. Avec une mémoire persistante. En continu, 24h/24.

Le projet explose. Plus de 20 000 étoiles GitHub en 24 heures. Une pénurie de Mac mini dans les magasins américains — la machine recommandée pour faire tourner l’agent. Tech Twitter s’emballe. Tout le monde veut son JARVIS personnel, installé chez soi, sous son contrôle.

Trois jours plus tard, les escrocs crypto ont détourné les comptes associés pour lancer un token de pump-and-dump. Puis Anthropic frappe.

Le 27 janvier 2026, l’entreprise envoie une demande formelle de renommage. « Clawd » est jugé trop similaire à « Claude ». Steinberger se voit même interdire la variante « Clawbot » sans le « d ». L’entreprise sera, selon les propres mots du développeur, « vraiment sympa » dans sa formulation — mais le rebrand s’avère catastrophique à exécuter. Clawdbot devient Moltbot, puis OpenClaw.

Mais la manœuvre produit l’effet inverse. Steinberger passe la semaine suivante à San Francisco en réunion avec « les grands laboratoires ». L’approche de Meta ajoute une touche surréaliste : Mark Zuckerberg le contacte via WhatsApp. Le développeur autrichien insiste pour appeler immédiatement. Zuckerberg demande dix minutes — il est en train de coder. Ils débattent ensuite dix minutes pour savoir si Claude Code ou Codex est supérieur. Le ton est posé, presque académique. Derrière, les milliards sont réels.

Selon son interview de trois heures à Lex Fridman, Meta et OpenAI lui proposent des offres d’acquisition. Il discute également avec Satya Nadella de Microsoft. Le 15 février 2026, il annonce son recrutement par OpenAI — le principal concurrent d’Anthropic — tout en transférant OpenClaw à une fondation indépendante pour préserver son caractère open source. « Il était crucial pour moi qu’OpenClaw reste open source, » écrit-il. « J’ai finalement senti qu’OpenAI était le meilleur endroit. »

Le dépôt officiel cumule aujourd’hui 116 000 étoiles.

Pendant ce temps, les chercheurs en sécurité commencent leur travail. Et ce qu’ils trouvent est instructif — pas parce que les vulnérabilités sont sophistiquées, mais précisément parce qu’elles ne le sont pas.

La vulnérabilité centrale est d’une simplicité déconcertante. En exploitant un paramètre gatewayUrl non validé dans la configuration de l’agent, des attaquants pouvaient utiliser une technique de détournement WebSocket pour voler le jeton d’authentification d’un utilisateur — en un seul clic sur un lien piégé.

Avec ce jeton, l’attaquant disposait d’un accès opérateur complet : désactivation des paramètres de sécurité, modification de la configuration, exécution de code arbitraire avec privilèges administrateur sur la machine de la victime. Cette vulnérabilité, référencée CVE-2026-25253, a été corrigée dans la version 2026.1.29.

Mais le vrai choc vient de ce qui se passe après l’installation.

En fin janvier 2026, le chercheur @fmdz387 utilise Shodan — un moteur de recherche pour appareils connectés — pour scanner Internet. Il découvre près de 1 000 installations OpenClaw accessibles publiquement, sans aucune authentification requise.

Jamieson O’Reilly pousse l’investigation plus loin. Il documente ce que permettent ces accès ouverts : récupération de clés API Anthropic, de tokens Telegram, d’accès Slack, de mois d’historiques de conversations privées. Et surtout — exécution de commandes avec privilèges administrateur complets.

Un audit de sécurité parallèle identifie 512 vulnérabilités dans le projet, dont 8 classées critiques.

Palo Alto Networks a mis en évidence une dimension particulièrement préoccupante : la mémoire persistante d’OpenClaw transforme la nature des attaques.

Voici le mécanisme :

CHRONOLOGIE D'UNE ATTAQUE DIFFÉRÉE
├─ Jour 1  : Installation d'OpenClaw, configuration rapide
├─ Jour 3  : Plugin "PDF Helper" installé (malveillant)
├─ Jour 3-24 : Payload dormant en mémoire persistante
└─ Jour 25 : Interaction avec un email → déclenchement, exfiltration

Un payload malveillant glissé dans un simple message de groupe peut rester stocké en mémoire pendant des semaines, prêt à se déclencher lors d’une interaction ultérieure. Les attaques ne sont plus ponctuelles — elles deviennent des attaques à exécution différée, que la quasi-totalité des mécanismes de défense actuels ne savent pas détecter.

Si ~1 000 installations exposées sont déjà inquiétantes, l’incident ClawHavoc révèle une propagation bien plus large.

341 skills malveillantes avaient été introduites dans ClawHub, la marketplace communautaire de l’agent. Résultat : plus de 9 000 installations compromises — neuf fois plus que les instances exposées sur Shodan.

Un audit Snyk parallèle conclut que 47% de l’ensemble des skills disponibles présentaient au moins un problème de sécurité : exposition de credentials, permissions excessives, comportements suspects.

Bitsight a documenté que les installations exposées ont suivi exactement la courbe de popularité du projet. La plus forte augmentation journalière d’instances détectées — 177% — s’est produite le lendemain du pic de recherches Google pour « clawdbot ». Les gens installaient, configuraient, et exposaient leur agent au rythme exact où ils en entendaient parler.

On pourrait s’arrêter là — des utilisateurs imprudents, un projet qui a grandi trop vite, des corrections déployées. Incident clos.

Ce serait passer à côté de l’essentiel.

Les vulnérabilités techniques d’OpenClaw sont réelles mais secondaires. La faille fondamentale est architecturale, et elle est partagée par la grande majorité des agents IA actuels. Le secteur l’appelle prompt injection — injection d’instructions.

Un agent IA comme OpenClaw reçoit des instructions de sources multiples simultanément : son propriétaire, les outils qu’il utilise, les pages web qu’il consulte, les emails qu’il traite, les messages qu’il lit. Dans son état actuel, l’agent n’est pas capable de hiérarchiser ces sources de manière fiable. Il ne distingue pas votre voix de celle d’un attaquant qui aurait glissé des instructions dans un document, un email, ou une page web — même une semaine plus tard, même sans que vous soyez présent.

La métaphore la plus juste est celle-ci : vous avez embauché un assistant auquel vous donnez accès à vos emails, vos fichiers, votre calendrier, vos comptes bancaires. Cet assistant est d’une compétence redoutable. Mais il obéit à n’importe qui dans votre bureau — car il est structurellement incapable de reconnaître votre autorité parmi d’autres.

Quelqu’un peut lui glisser un mot dans un document. Il exécutera. Toujours. Même dans le futur.

L’affaire OpenClaw est révélatrice d’un problème systémique.

Un agent IA compromis n’est pas un ordinateur compromis. C’est un mandataire compromis — un système qui agit en votre nom, dispose de votre contexte, connaît vos relations, et peut interagir avec des dizaines de services tiers sans que vous n’en sachiez rien.

Le rapport Clawhatch State of AI Agent Security 2026, publié en février, est sans appel : chaque configuration analysée présentait au moins un problème de sécurité. Credentials codés en dur, sandboxes manquants, gateways exposées, absence de contrôles d’accès — la norme, pas l’exception.

Kaspersky recommande déjà Claude Opus comme modèle de base pour OpenClaw en raison de ses capacités supérieures à détecter les injections de prompts. L’ironie n’est pas perdue : Anthropic, qui a exigé le renommage d’OpenClaw, fournit maintenant le modèle jugé le plus sûr pour l’exécuter.

Mais aucune solution n’est encore mature ni largement déployée.

Si vous utilisez ou envisagez d’utiliser un agent IA capable d’agir sur vos systèmes, voici les principes qui devraient guider votre déploiement.

Auditez les permissions de manière exhaustive. La question n’est pas « que peut faire cet agent ? » mais « à quoi a-t-il accès sans me demander confirmation ? ». Dressez la liste complète. Si elle dépasse ce que vous pouvez superviser activement, vous avez un problème de gouvernance.

Posez des limites opérationnelles explicites. Nombre maximum d’étapes par session, plafond d’appels d’outils, limites budgétaires sur les APIs. Ces contraintes ne sont pas des obstacles à la productivité — elles sont le filet de sécurité qui empêche qu’une boucle infinie ou une attaque par épuisement de ressources ne se transforme en incident financier.

Traitez chaque plugin comme un vecteur de risque autonome. ClawHavoc l’a démontré : les marketplaces de plugins sont le premier vecteur d’attaque contre les agents IA. Vérifiez l’origine, examinez les permissions demandées, comprenez ce que le plugin fait réellement — et si vous ne pouvez pas le faire, ne l’installez pas.

Interdisez à l’agent de modifier ses propres paramètres de sécurité. L’exploit central d’OpenClaw reposait précisément sur cette capacité : l’attaquant utilisait l’API de l’agent pour désactiver ses garde-fous, puis agissait librement. Un agent qui peut désactiver ses propres contraintes ne dispose en réalité d’aucune contrainte. Cette règle doit être implémentée au niveau architectural.

Comprenez le workflow avant de l’automatiser. Si vous ne pouvez pas décrire, étape par étape, ce que fait votre agent dans ses cas d’usage courants et dans ses cas d’erreur, vous n’êtes pas en position de superviser son comportement. L’automatisation sans compréhension ne réduit pas le travail — elle transfère la responsabilité vers un système dont vous ne contrôlez pas les décisions.

L’affaire OpenClaw soulève une question qui dépasse la sécurité informatique : comment concevoir des systèmes agentiques dignes de confiance ?

Des travaux de recherche sont en cours sur des architectures plus robustes — séparation stricte des canaux d’instruction, sandboxing des outils, systèmes de réputation pour les plugins, analyse comportementale en temps réel. Mais pendant ce temps, l’écosystème des agents IA croît à une vitesse que les pratiques de sécurité ne suivent pas.

Et un mandataire mal cadré — ou mal sécurisé — ne travaille pas pour vous. Il travaille pour quiconque sait lui parler.

Benabdellah SOUFARI – Février 2026

---

Sources

TechCrunch — "OpenClaw creator Peter Steinberger joins OpenAI" 
techcrunch.com, 15 février 2026

The Register — "OpenAI grabs OpenClaw creator Peter Steinberger"
theregister.com, 16 février 2026

Decrypt — "OpenClaw Creator Gets Big Offers — Will It Stay Open Source?"
decrypt.co, 13 février 2026

Peter Steinberger — Blog officiel "OpenClaw, OpenAI and the future"
steipete.me, 14 février 2026

Business Insider / DNyuz — "Clawdbot creator says Anthropic 'forced' him to rename"
dnyuz.com, 27 janvier 2026

TMCnet — "Clawdbot creator says Anthropic was 'really nice' in renaming email"
insight.tmcnet.com, 28 janvier 2026

Kaspersky Blog — "New OpenClaw AI agent found unsafe for use"
kaspersky.com, février 2026

Palo Alto Networks Blog — "OpenClaw (formerly Moltbot, Clawdbot) May Signal the Next 
AI Security Crisis" paloaltonetworks.com, février 2026

Bitsight — "OpenClaw Security: Risks of Exposed AI Agents Explained"
bitsight.com, février 2026

Digital Applied — "AI Agent Plugin Security: Lessons from ClawHavoc 2026"
digitalapplied.com, février 2026

HawkEye — "The ClawdBot Vulnerability: How a Hyped AI Agent Became a Security Liability"
hawk-eye.io, janvier 2026

Clawhatch — "State of AI Agent Security 2026 — Public GitHub Audit"
clawhatch.com, février 2026

Wiz Research — "Hacking Moltbook: AI Social Network Reveals 1.5M API Keys"
wiz.io, février 2026

CVE-2026-25253 — Vulnérabilité WebSocket OpenClaw, corrigée version 29/01/2026