Calipia : le blog

Le scénario que personne (ou presque) n’avait anticipé

Imaginez qu’un attaquant glisse une seule instruction dans un email transféré à un collaborateur. Un agent OpenClaw, chargé de résumer cet email dans le cadre d’une tâche ordinaire, exécute silencieusement l’instruction cachée : transmettre des identifiants vers un endpoint externe. L’opération s’effectue via un appel API parfaitement autorisé, avec les propres jetons OAuth de l’agent. Le pare-feu enregistre un HTTP 200. L’EDR observe un processus normal. Aucune signature ne se déclenche. Rien, selon tous les critères de votre stack de sécurité, ne s’est mal passé.

Ce scénario n’est pas extrait d’un roman de science-fiction ni d’un proof of concept de laboratoire. C’est la réalité opérationnelle d’OpenClaw en 2026, et c’est précisément le problème que cet article s’efforce de décrire avec toute la gravité qu’il mérite et une pointe d’ironie, parce qu’il faut bien garder le moral.

OpenClaw : de la star GitHub à la bombe à retardement

OpenClaw, né sous les noms successifs de Clawdbot puis Moltbot avant que des querelles de marque ne l’obligent à se rebaptiser, est un framework d’agents IA open source développé par l’Autrichien Peter Steinberger. Il a atteint 250 829 étoiles sur GitHub en à peine 60 jours, dépassant le record décennal de React, ce qui en fait l’un des dépôts à la croissance la plus rapide de l’histoire de la plateforme. Sam Altman a publiquement salué son créateur comme « un génie », lequel a d’ailleurs été recruté par OpenAI dans la foulée — ce qui constitue probablement le meilleur signe que le projet valait quelque chose, et simultanément que personne chez OpenAI ne regardait les CVE.

Concrètement, OpenClaw est un agent autonome qui s’exécute localement sur la machine de l’utilisateur et interagit avec des modèles de langage comme Claude ou GPT. Il peut exécuter des commandes shell, lire et écrire des fichiers, naviguer sur le web, envoyer des emails, gérer des agendas et effectuer des actions sur Slack, WhatsApp, Telegram, Discord et une vingtaine d’autres plateformes. C’est exactement la combinaison dont rêve un directeur des opérations le matin et qui fait cauchemarder un RSSI le soir.

Une architecture dangereuse par conception

Le chercheur Simon Willison, reconnu notamment pour avoir popularisé le concept de prompt injection, a caractérisé l’architecture d’OpenClaw sous un nom qui mérite de figurer dans vos présentations au COMEX : la « trifecta létale » des agents IA. Elle désigne la coexistence dans un même processus de trois capacités : l’accès à des données privées (emails, fichiers, identifiants, historique de navigation), l’exposition à du contenu non fiable (navigation web, skills tierces via des marketplaces, messages entrants d’expéditeurs arbitraires), et la capacité de communication externe (envoi d’emails, appels API, webhooks). 

Palo Alto Networks a cartographié OpenClaw sur l’intégralité des catégories du Top 10 OWASP pour les applications agentiques, confirmant que cette combinaison crée une surface d’attaque systémique. Ce n’est pas un bug qu’on corrige avec un patch. C’est une posture architecturale.

CVE-2026-25253 : l’exécution de code en un clic

Si la nature structurelle du problème pouvait encore être traitée comme une abstraction théorique, la divulgation de CVE-2026-25253 a mis fin à ce confort intellectuel. Cette vulnérabilité, notée CVSS 8.8, permet une exécution de code à distance en un seul clic, exploitable même sur des instances liées à localhost. Elle a été corrigée dans la version 2026.1.29. 

Le mécanisme est d’une simplicité déconcertante. L’interface de contrôle d’OpenClaw accepte un paramètre gatewayUrl dans la chaîne de requête et établit automatiquement une connexion WebSocket vers cette URL, sans demander confirmation à l’utilisateur et en transmettant le jeton d’authentification dans le processus. Un attaquant forge une URL malveillante, la glisse dans un email de phishing ou sur une page web, attend que l’utilisateur clique, et récupère le token. Avec ce token, il obtient un accès de niveau opérateur au gateway, peut modifier la configuration (y compris les politiques de sandbox et les autorisations des outils) et exécuter des commandes arbitraires sur le système hôte avec tous les privilèges accordés à l’agent. Les chercheurs ont confirmé que la chaîne d’exploitation complète ne prend que quelques millisecondes.

Cette vulnérabilité n’est pas isolée. Au total, 512 vulnérabilités ont été découvertes sur la plateforme, dont 8 classées critiques ou sévères, incluant une exécution de commande à distance (CVE-2026-25157), une injection de commandes (CVE-2026-24763), une SSRF, une élévation de privilèges via Discord et une traversée de chemin via les webhooks.

L’angle mort de vos outils de défense : pourquoi ils ne voient rien

C’est ici que le sujet prend une dimension stratégique pour les architectes sécurité et les DSI. Le problème n’est pas tant qu’OpenClaw soit vulnérable (tout logiciel l’est), mais que les modes d’attaque qu’il génère sont fondamentalement invisibles à votre stack de défense actuelle.

L’EDR surveille le comportement des processus. Mais le comportement de l’agent est normal, car ses identifiants sont réels et ses appels API sont autorisés. L’EDR interprète donc les actions malveillantes comme celles d’un utilisateur légitime effectuant un travail attendu. Rien dans l’écosystème de défense actuel ne traque ce que l’agent a décidé de faire avec cet accès, ni pourquoi.

Le DLP, lui, est conçu pour détecter des patterns de données sensibles dans des flux connus. OpenClaw ne déplace pas les fichiers de manière conventionnelle. Il peut résumer, recoder et transmettre de l’information sensible sous forme de texte brut via des canaux que les systèmes DLP interprètent comme du trafic légitime : requêtes vers des modèles de langage, réponses d’API, logs. Autrement dit, l’exfiltration se dissimule dans la sémantique, là où aucune signature binaire ne peut la capturer.

L’IAM, enfin, est aveugle au mouvement latéral entre agents. Dans les architectures multi-agents, OpenClaw peut transmettre du contexte, incluant des tokens de session, des identifiants en mémoire et des fragments de documents confidentiels, entre instances d’agents sans qu’aucun mécanisme de séparation des privilèges n’existe entre elles. Chaque agent opère sous une identité apparemment valide, ce qui crée une surface de mouvement latéral que les systèmes IAM ne sont tout simplement pas conçus pour détecter. 

Six équipes de sécurité indépendantes ont produit six outils de défense pour OpenClaw en 14 jours. Trois surfaces d’attaque ont survécu à toutes ces tentatives. Voilà qui relativise agréablement les promesses marketing des éditeurs de solutions de sécurité.

La propagation incontrôlée : le shadow IT de l’IA agentique

Si le problème était cantonné aux déploiements officiels, il serait gérable. La réalité est plus inquiétante. Token Security a constaté que 22 % de ses clients entreprise ont des employés utilisant OpenClaw sans approbation de la DSI, et Bitsight a recensé plus de 30 000 instances publiquement exposées en deux semaines, contre environ 1 000 au départ.

Lorsqu’OpenClaw est connecté à des applications SaaS d’entreprise comme Slack ou Google Workspace, l’agent peut accéder aux messages Slack, emails, entrées de calendrier, documents stockés dans le cloud, données des applications intégrées, et aux tokens OAuth qui permettent le mouvement latéral. La mémoire persistante de l’agent signifie que toutes les données auxquelles il accède restent disponibles d’une session à l’autre.

Le tableau est complété par la supply chain. Des attaquants ont distribué 335 skills malveillantes via ClawHub, la marketplace publique d’OpenClaw, utilisant une documentation professionnelle et des noms anodins pour paraître légitimes avant d’installer des keyloggers sous Windows ou le malware Atomic Stealer. Bitdefender a finalement recensé 824 skills malveillantes, représentant environ 20 % du registre.

Les trois surfaces d’attaque irrésolues

Les chercheurs s’accordent sur trois vecteurs pour lesquels aucune solution satisfaisante n’existe encore dans l’écosystème de défense.

Le premier est l’exfiltration sémantique à l’exécution. L’attaque encode le comportement malveillant dans la signification, pas dans des patterns binaires. Aucun outil de détection actuel ne peut inspecter le sens des instructions qu’un agent reçoit et exécute.

Le second est la contamination de contexte entre agents. Quand plusieurs agents ou skills partagent un contexte de session, une injection de prompt dans un canal empoisonne les décisions sur toute la chaîne. Des chercheurs de Giskard ont démontré en janvier 2026 que des agents ajoutaient silencieusement des instructions contrôlées par un attaquant à leurs propres fichiers de workspace et attendaient des commandes de serveurs externes. Jamieson O’Reilly, chercheur en sécurité et conseiller du projet, le formule sans détour : cette vulnérabilité est particulièrement difficile à corriger car elle est intimement liée à la prompt injection, une vulnérabilité systémique qui dépasse largement OpenClaw et affecte tous les systèmes agentiques basés sur les LLM.

Le troisième est l’absence totale d’authentification mutuelle dans les chaînes de confiance entre agents. Quand des agents OpenClaw délèguent des tâches à d’autres agents ou à des serveurs MCP externes, aucune vérification d’identité n’existe entre eux.  L’architecture de confiance implicite est une invitation permanente au mouvement latéral.

Réponses de l’industrie : NemoClaw et les limites du pansement

L’industrie a réagi avec une célérité inhabituelle, ce qui est à la fois rassurant et légèrement inquiétant — quand Nvidia publie une réponse sécurité en urgence, c’est généralement que le problème est sérieux. NemoClaw, annoncé par Nvidia, est une couche orientée sécurité qui combine la plateforme OpenClaw avec des composants du toolkit d’agents de Nvidia, ajoutant des contrôles de confidentialité et d’accès limitant ce que les agents peuvent lire, écrire ou transmettre, des mécanismes de monitoring et de gouvernance pour auditer les actions des agents et révoquer des privilèges, et des options pour exécuter les modèles localement ou derrière l’infrastructure de l’entreprise. 

AWS a simultanément lancé une version managée d’OpenClaw sur Lightsail. JFrog a déployé un registre de skills visant à adresser les risques de la supply chain. Ces initiatives sont utiles, mais elles n’adressent pas les trois surfaces d’attaque fondamentales décrites plus haut. Comme le note NemoClaw lui-même dans sa documentation : c’est un playbook pour un déploiement plus sûr des agents, pas une garantie de sécurité.

Ce que les DSI doivent faire maintenant

Le discours de la sécurité « zero trust » est bien ancré dans la culture des DSI. Il s’agit désormais de l’étendre aux agents IA avec la même rigueur que celle appliquée aux serveurs de production.

Les actions immédiates sont claires. Auditer l’environnement pour détecter toute installation d’OpenClaw (artefacts dans ~/.openclaw/, processus Node.js suspects, clés stockées en texte clair dans des fichiers Markdown ou JSON). Appliquer le patch vers la version 2026.1.29 au minimum et faire tourner tous les tokens d’authentification concernés. Cartographier les instances actives en les qualifiant selon la trifecta létale de Willison : tout agent combinant accès à des données privées, ingestion de contenu externe et capacité d’émission vers l’extérieur doit être traité comme infrastructure à haut risque.

À moyen terme, les agents IA doivent être classés comme infrastructure privilégiée au même titre que les serveurs de production, avec isolation réseau, contrôle des portées OAuth, et journalisation des actions (pas seulement de l’authentification). Les frameworks de conformité émergents comme l’EU AI Act et le NIST AI RMF commencent à aborder les agents autonomes. Faire fonctionner de tels agents sans gouvernance ni contrôle d’accès pourrait constituer une non-conformité.Autant anticiper plutôt que subir un audit surprise.

La détection comportementale doit prendre le relais de la détection par signature. Ce qui ne peut pas être vu par un EDR doit l’être par l’analyse des flux sémantiques et des patterns de décision des agents, un domaine encore largement en construction, mais sur lequel les éditeurs de sécurité travaillent activement.

Conclusion : un signal faible devenu signal fort

OpenClaw n’est pas un incident de sécurité parmi d’autres. C’est le premier cas industriel documenté d’une classe entière de menaces qui va redéfinir la sécurité des systèmes d’information dans les prochaines années. Les agents IA autonomes avec accès étendu ne sont pas une tendance de niche : ils sont en cours de déploiement dans vos organisations, parfois à votre insu. La question n’est plus de savoir s’il faut encadrer leur usage, mais à quelle vitesse et avec quels outils.

Le fait qu’en 14 jours six équipes indépendantes aient produit des outils de défense et que trois vecteurs d’attaque demeurent non résolus devrait suffire à convaincre que nous ne sommes qu’au début de cette crise. L’infrastructure agentique mérite une gouvernance agentique. Et peut-être, à terme, une ligne budgétaire dédiée.

Nous aborderons ceci au travers de 3 sessions lors du prochain Briefing Calipia en juin : un sessions sur les évolutions des IA génératives ou nous expliquerons le mécanisme, mais aussi une session sur les nouvelles menaces, et une autre sur les réponses.