OpenClaw : comment un agent IA « vibe-codé » en quelques semaines a exposé 135 000 machines à internet et redéfini la notion de catastrophe sécuritaire en 2026

Plus de 135 000 instances d'OpenClaw, l'agent IA open source qui a fait le buzz début 2026, sont exposées à l'internet sans protection adéquate. Entre failles critiques non patchées, plugins malveillants et configuration par défaut dangereuse, cette plateforme « vibe-codée » cristallise tous les travers d'une adoption de l'IA qui court bien plus vite que la sécurité.

Il aura suffi de quelques semaines pour que ce qui ressemblait à un projet sympathique de geek passionné devienne l'un des vecteurs d'attaque les plus préoccupants du début d'année. OpenClaw — que ses utilisateurs les plus fidèles ont d'abord connu sous les noms de ClawdBot, puis Moltbot (rebaptisé sous la pression d'Anthropic, trop proche phonétiquement de « Claude ») — est un agent IA agentic open source permettant à un LLM de prendre le contrôle d'un système : gestion des emails, des calendriers, des scripts, navigation web autonome, accès aux fichiers, connexion aux messageries (WhatsApp, Telegram, Signal, Discord…). Le tout en mémoire persistante, tourné 24h/24 depuis votre machine ou votre VPS.

Le projet est passé de 7 800 étoiles GitHub à plus de 113 000 en moins d'une semaine fin janvier 2026 — soit une croissance de 29 % par jour. Une viralité foudroyante qui s'est accompagnée, presque simultanément, d'une avalanche de mauvaises nouvelles sécuritaires.

Un « vibe coding » assumé, une dette sécuritaire abyssale

Le terme « vibe coding » désigne une pratique récente consistant à déléguer quasi intégralement l'écriture du code à un LLM, en pilotant le développement à l'instinct et à la vitesse. OpenClaw en est la parfaite illustration : son créateur, Peter Steinberger, a construit la plateforme grâce à ce qu'il appelle le « swarm programming », une approche où des agents IA se chargent de l'essentiel du code. Résultat : des fonctionnalités qui arrivent vite, des correctifs déployés en quelques heures — mais une base de code truffée de vulnérabilités structurelles.

Un audit de sécurité mené fin janvier 2026, alors que la plateforme s'appelait encore ClawdBot, avait déjà identifié 512 vulnérabilités, dont huit classées critiques. La suite n'a fait qu'aggraver le tableau. Trois CVE à haut risque lui ont été attribués en quelques semaines, dont le CVE-2026-25253, noté 8,8 sur l'échelle CVSS, qui permet une exécution de code à distance en un seul clic via un lien malveillant. Le mécanisme de cette dernière faille est particulièrement élégant dans sa dangerosité : le panneau de contrôle fait confiance au paramètre gatewayUrl passé dans la chaîne de requête sans aucune validation, et se connecte automatiquement au chargement en envoyant le token d'authentification stocké dans le payload WebSocket. Un simple lien ou une page malveillante visitée suffit à envoyer ce token vers un serveur contrôlé par l'attaquant, qui peut alors se connecter au gateway local de la victime, modifier la configuration et déclencher des actions privilégiées.


Kaspersky alerte sur les vulnérabilités d’OpenClaw : exposition, configuration laxiste et risques systémiques

Dans son analyse, Kaspersky met en lumière plusieurs failles et mauvaises pratiques de déploiement autour d’OpenClaw, une plateforme orientée agents IA. Le constat est clair : des instances accessibles publiquement sur Internet présentent des vulnérabilités critiques liées à des configurations inadéquates, ouvrant la porte à des abus potentiellement graves.

Instances exposées et absence de protections de base

Les chercheurs ont identifié des déploiements d’OpenClaw accessibles sans authentification robuste. Dans certains cas, l’interface d’administration ou les endpoints API étaient directement exposés, permettant à un tiers d’interagir avec l’agent, d’exécuter des actions ou d’accéder à des informations internes. Ce type d’exposition ne relève pas nécessairement d’une vulnérabilité « zero-day » sophistiquée, mais plutôt d’un défaut de configuration : absence de contrôle d’accès, binding réseau trop permissif, ou déploiement sur un serveur public sans reverse proxy sécurisé.

Risque d’exécution et d’abus des capacités de l’agent

Le point le plus sensible concerne les capacités intrinsèques d’OpenClaw. Un agent IA n’est pas qu’un moteur de génération de texte : il peut être connecté à des outils, API externes, systèmes de fichiers ou scripts locaux. Si une instance est compromise ou accessible librement, un attaquant pourrait détourner ces capacités. Cela inclut l’exécution de commandes, l’exfiltration de données via des appels sortants, ou l’exploitation de clés API stockées dans les variables d’environnement.

Autrement dit, l’agent peut devenir un relais d’attaque, voire un point de pivot dans une infrastructure plus large.

Fuite potentielle de secrets et données sensibles

Kaspersky souligne également le risque lié au stockage des secrets. Dans plusieurs cas, des tokens, clés d’API ou paramètres sensibles étaient accessibles via l’instance exposée ou récupérables à travers des requêtes malveillantes. Étant donné que les agents interagissent souvent avec des services tiers — stockage cloud, CRM, bases de données — la compromission ne se limite pas à l’instance elle-même. Elle peut s’étendre à tout l’écosystème connecté.

Un problème structurel plus large que le seul cas OpenClaw

L’article insiste sur le fait que ces vulnérabilités ne sont pas uniquement le résultat d’un bug spécifique à OpenClaw, mais d’un ensemble de pratiques de déploiement insuffisamment sécurisées. La rapidité avec laquelle les agents IA sont adoptés et exposés en production favorise les erreurs classiques : absence d’authentification forte, logs accessibles publiquement, mauvaise gestion des secrets, absence de segmentation réseau.

Dans ce contexte, les plateformes d’agents deviennent des cibles attractives, car elles combinent logique décisionnelle et capacités d’action.

Recommandations générales

Kaspersky recommande de restreindre l’exposition réseau des instances, d’imposer une authentification solide, de gérer les secrets via des vaults dédiés, et de limiter strictement les capacités accordées aux agents. L’idée centrale est de traiter les agents IA comme des composants critiques d’infrastructure, et non comme de simples outils applicatifs.

135 000 instances exposées — et le compteur tourne

C'est l'équipe STRIKE de SecurityScorecard qui a mis le feu aux poudres le 9 février avec la publication d'un rapport retentissant. Au moment de la publication, elle dénombrait 40 000 instances OpenClaw accessibles depuis l'internet. Quelques heures plus tard, ce chiffre avait déjà grimpé à 135 000. Parmi ces déploiements, 45 % sont hébergés chez Alibaba Cloud, 37 % des instances se trouvant en Chine — ce qui laisse penser que des templates de déploiement non sécurisés sont réutilisés à grande échelle.

La cause principale ? Une configuration réseau par défaut proprement absurde pour un outil aussi puissant. Out of the box, OpenClaw écoute sur 0.0.0.0:18789, c'est-à-dire sur toutes les interfaces réseau, internet public inclus. Pour un outil de cette puissance, le défaut devrait être 127.0.0.1 (localhost uniquement). Ce n'est pas le cas.

Mais la responsabilité ne pèse pas uniquement sur les épaules des utilisateurs négligents. Jeremy Turner, VP de la threat intelligence chez SecurityScorecard, insiste sur le fait que beaucoup de ces problèmes sont architecturaux, inhérents à la conception même du produit. Sa métaphore est parlante : laisser tourner OpenClaw sans supervision, c'est comme embaucher un prestataire talentueux mais aux antécédents douteux, lui donner accès à tous vos systèmes, puis lui dire que toutes les instructions futures arriveront par email ou SMS — sans possibilité de vérifier l'émetteur.


Un écosystème de plugins transformé en marché noir involontaire

Au-delà des failles du cœur de l'application, c'est tout l'écosystème de « skills » (les extensions d'OpenClaw) qui pose problème. Une analyse de 31 000 skills d'agents IA a montré que 26 % d'entre eux contenaient au moins une vulnérabilité. Les chercheurs de Cisco ont poussé l'investigation plus loin en testant un plugin baptisé « What Would Elon Do ? » — propulsé artificiellement au rang de skill n°1 du dépôt officiel. Le verdict est sans appel : ce plugin est fonctionnellement un malware, qui instruite explicitement l'agent d'exécuter une commande curl pour envoyer des données vers un serveur externe contrôlé par son auteur.

Le chercheur Jamieson O'Reilly est allé encore plus loin en accédant à des clés API Anthropic, des tokens de bots Telegram, des comptes Slack et des mois d'historiques de conversations complets — pouvant même envoyer des messages au nom de l'utilisateur et exécuter des commandes avec les droits administrateur système.

Le problème de fond est celui de la chaîne de confiance. Les skills comme Microsoft 365, Gmail, Google Drive, Slack, Outlook ou Notion permettent à l'agent d'ingérer des contenus qui n'ont jamais été conçus comme des instructions exécutables — emails, invitations calendrier, documents partagés, messages de chat — ouvrant grand la porte aux attaques par injection de prompt indirecte.

Cyera, qui se présente comme étant une plateforme de sécurité des données AI-native, explique :

« Nous avons analysé 1 937 compétences développées par la communauté sur la plateforme ClawHub et avons constaté les demandes suivantes pour des privilèges SaaS étendus : 336 avec accès à Google Workspace, 170 avec Microsoft 365 et beaucoup d’autres avec Slack, AWS et d’autres services d’entreprise. Ces autorisations ne sont pas limitées. Elles requièrent les droits de modification de Gmail, un accès complet à Drive, la modification du calendrier, le contrôle des messages Teams et Slack, ainsi que l'utilisation d'API cloud.

« Une fois accordées, ces autorisations sont automatiquement réutilisées par l'agent, sans approbation par action, sans périmètre d'audit ni confirmation de l'utilisateur. De...