OpenClaw : comment un agent IA « vibe-codé » en quelques semaines a exposé 135 000 machines à internet et redéfini la notion de catastrophe sécuritaire en 2026

Plus de 135 000 instances d'OpenClaw, l'agent IA open source qui a fait le buzz début 2026, sont exposées à l'internet sans protection adéquate. Entre failles critiques non patchées, plugins malveillants et configuration par défaut dangereuse, cette plateforme « vibe-codée » cristallise tous les travers d'une adoption de l'IA qui court bien plus vite que la sécurité.

Il aura suffi de quelques semaines pour que ce qui ressemblait à un projet sympathique de geek passionné devienne l'un des vecteurs d'attaque les plus préoccupants du début d'année. OpenClaw — que ses utilisateurs les plus fidèles ont d'abord connu sous les noms de ClawdBot, puis Moltbot (rebaptisé sous la pression d'Anthropic, trop proche phonétiquement de « Claude ») — est un agent IA agentic open source permettant à un LLM de prendre le contrôle d'un système : gestion des emails, des calendriers, des scripts, navigation web autonome, accès aux fichiers, connexion aux messageries (WhatsApp, Telegram, Signal, Discord…). Le tout en mémoire persistante, tourné 24h/24 depuis votre machine ou votre VPS.

Le projet est passé de 7 800 étoiles GitHub à plus de 113 000 en moins d'une semaine fin janvier 2026 — soit une croissance de 29 % par jour. Une viralité foudroyante qui s'est accompagnée, presque simultanément, d'une avalanche de mauvaises nouvelles sécuritaires.

Un « vibe coding » assumé, une dette sécuritaire abyssale

Le terme « vibe coding » désigne une pratique récente consistant à déléguer quasi intégralement l'écriture du code à un LLM, en pilotant le développement à l'instinct et à la vitesse. OpenClaw en est la parfaite illustration : son créateur, Peter Steinberger, a construit la plateforme grâce à ce qu'il appelle le « swarm programming », une approche où des agents IA se chargent de l'essentiel du code. Résultat : des fonctionnalités qui arrivent vite, des correctifs déployés en quelques heures — mais une base de code truffée de vulnérabilités structurelles.

Un audit de sécurité mené fin janvier 2026, alors que la plateforme s'appelait encore ClawdBot, avait déjà identifié 512 vulnérabilités, dont huit classées critiques. La suite n'a fait qu'aggraver le tableau. Trois CVE à haut risque lui ont été attribués en quelques semaines, dont le CVE-2026-25253, noté 8,8 sur l'échelle CVSS, qui permet une exécution de code à distance en un seul clic via un lien malveillant. Le mécanisme de cette dernière faille est particulièrement élégant dans sa dangerosité : le panneau de contrôle fait confiance au paramètre gatewayUrl passé dans la chaîne de requête sans aucune validation, et se connecte automatiquement au chargement en envoyant le token d'authentification stocké dans le payload WebSocket. Un simple lien ou une page malveillante visitée suffit à envoyer ce token vers un serveur contrôlé par l'attaquant, qui peut alors se connecter au gateway local de la victime, modifier la configuration et déclencher des actions privilégiées.


Kaspersky alerte sur les vulnérabilités d’OpenClaw : exposition, configuration laxiste et risques systémiques

Dans son analyse, Kaspersky met en lumière plusieurs failles et mauvaises pratiques de déploiement autour d’OpenClaw, une plateforme orientée agents IA. Le constat est clair : des instances accessibles publiquement sur Internet présentent des vulnérabilités critiques liées à des configurations inadéquates, ouvrant la porte à des abus potentiellement graves.

Instances exposées et absence de protections de base

Les chercheurs ont identifié des déploiements d’OpenClaw accessibles sans authentification robuste. Dans certains cas, l’interface d’administration ou les endpoints API étaient directement exposés, permettant à un tiers d’interagir avec l’agent, d’exécuter des actions ou d’accéder à des informations internes. Ce type d’exposition ne relève pas nécessairement d’une vulnérabilité « zero-day » sophistiquée, mais plutôt d’un défaut de configuration : absence de contrôle d’accès, binding réseau trop permissif, ou déploiement sur un serveur public sans reverse proxy sécurisé.

Risque d’exécution et d’abus des capacités de l’agent

Le point le plus sensible concerne les capacités intrinsèques d’OpenClaw. Un agent IA n’est pas qu’un moteur de génération de texte : il peut être connecté à des outils, API externes, systèmes de fichiers ou scripts locaux. Si une instance est compromise ou accessible librement, un attaquant pourrait détourner ces capacités. Cela inclut l’exécution de commandes, l’exfiltration de données via des appels sortants, ou l’exploitation de clés API stockées dans les variables d’environnement.

Autrement dit, l’agent peut devenir un relais d’attaque, voire un point de pivot dans une infrastructure plus large.

Fuite potentielle de secrets et données sensibles

Kaspersky souligne également le risque lié au stockage des secrets. Dans plusieurs cas, des tokens, clés d’API ou paramètres sensibles étaient accessibles via l’instance exposée ou récupérables à travers des requêtes malveillantes. Étant donné que les agents interagissent souvent avec des services tiers — stockage cloud, CRM, bases de données — la compromission ne se limite pas à l’instance elle-même. Elle peut s’étendre à tout l’écosystème connecté.

Un problème structurel plus large que le seul cas OpenClaw

L’article insiste sur le fait que ces vulnérabilités ne sont pas uniquement le résultat d’un bug spécifique à OpenClaw, mais d’un ensemble de pratiques de déploiement insuffisamment sécurisées. La rapidité avec laquelle les agents IA sont adoptés et exposés en production favorise les erreurs classiques : absence d’authentification forte, logs accessibles publiquement, mauvaise gestion des secrets, absence...