Les craintes liées à la sécurité d'OpenClaw poussent Meta et d'autres entreprises d'IA à en restreindre l'utilisation

L'outil est réputé pour ses capacités exceptionnelles et son extrême imprévisibilité

Les craintes liées à la sécurité d'OpenClaw poussent Meta et d'autres entreprises d'IA à en restreindre l'utilisation,
l'outil est réputé pour ses capacités exceptionnelles et son extrême imprévisibilité

En l'espace de quelques mois, OpenClaw est passé du statut de projet GitHub confidentiel à celui d'épouvantail sécuritaire numéro un de l'industrie tech. Lancé en novembre 2025 sous le nom Clawdbot par un développeur autrichien travaillant seul, l'agent IA autonome a accumulé 145 000 étoiles GitHub et provoqué une pénurie de Mac Mini avant que Meta, des startups et des prestataires de santé ne sortent le carton rouge.

Tout commence en novembre 2025, lorsque Peter Steinberger, fondateur autrichien de PSPDFKit (une entreprise spécialisée dans le formatage de fichiers PDF qu'il a passé 13 ans à développer) publie sur GitHub un projet personnel qu'il baptise Clawdbot. Il raconte au podcasteur Lex Fridman avoir créé son prototype parce qu'il « était agacé que ça n'existe pas, alors je l'ai simplement prompté pour qu'il existe ». C'était son 44^e projet lié à l'IA depuis 2009, explique-t-il, au terme d'une longue période de doute : épuisé par des années à construire une entreprise, il avait fui en direction de Madrid pour recharger les batteries, avant que la frénésie agentique naissante ne le rappelle devant son clavier.

Ce que Steinberger propose avec Clawdbot tranche radicalement avec les chatbots existants. Là où ChatGPT ou Gemini attendent passivement une question, son agent est conçu pour être proactif. Grâce à un mécanisme qu'il appelle le « Heartbeat », l'agent se réveille à intervalles programmés ou en réponse à des déclencheurs précis, sans attendre d'instruction humaine. Il peut exécuter de manière autonome des actions sur les appareils personnels des utilisateurs (gestion d'e-mails, calendrier, achats, messageries) à partir d'instructions générales plutôt que de simples échanges conversationnels. Les données de configuration sont certes stockées localement (un argument marketing « local-first » qui a pesé dans l'adoption rapide) mais cette architecture n'immunise pas contre les risques : une mauvaise configuration suffit à exposer l'agent sur Internet, et les chercheurs ne tarderont pas à le démontrer de façon fracassante.

La mayonnaise prend instantanément. Deux mois après sa sortie, le dépôt GitHub du projet dépasse les 100 000 étoiles, en faisant l'un des dépôts à la croissance la plus rapide de l'histoire de la plateforme. Par début février 2026, le framework franchit les 145 000 étoiles GitHub et enregistre un pic de trafic de 2 millions de visiteurs en une seule semaine. Une pénurie de Mac Mini s'ensuit dans plusieurs enseignes américaines, la machine étant recommandée pour faire tourner l'agent localement.


Un nom, deux noms, trois noms : la saga des rebrands

Le chemin de Clawdbot vers OpenClaw est semé d'embûches juridiques et de rebaptisations. Le nom a changé une première fois après qu'Anthropic a menacé d'engager une action en justice pour la similitude avec "Claude", puis une deuxième fois parce que Steinberger préférait simplement le nouveau nom. Clawdbot est ainsi devenu Moltbot, puis enfin OpenClaw début 2026. Ces changements successifs, loin de nuire à la popularité de l'outil, ont au contraire amplifié sa couverture médiatique.

Derrière les rebrands, les grands laboratoires se disputent l'outil. Mark Zuckerberg contacte Steinberger via WhatsApp. Le développeur autrichien insiste pour l'appeler immédiatement. Zuckerberg demande dix minutes — il est en train de coder. Ils débattent ensuite dix minutes pour savoir si Claude Code ou Codex est supérieur. L'anecdote illustre l'attraction gravitationnelle exercée par ce projet open source sur les géants du secteur.

C'est finalement Sam Altman qui remporte la mise. L'annonce tombe : Steinberger rejoint OpenAI pour « piloter la prochaine génération d'agents personnels ». Altman le qualifie de « génie avec beaucoup d'idées fascinantes sur l'avenir d'agents très intelligents interagissant les uns avec les autres pour faire des choses très utiles pour les gens ». OpenClaw sera maintenu dans une fondation indépendante open source soutenue par OpenAI. Pour Steinberger, le choix est idéologique autant que stratégique : il répète vouloir « changer le monde, pas construire une grande entreprise. »


Le revers de la médaille : la trilogie mortelle de la sécurité

L'engouement a une contrepartie sévère. Des experts en cybersécurité ont alerté que l'outil est risqué parce qu'il a accès à des données privées, peut communiquer vers l'extérieur et est exposé à du contenu non fiable — ce qu'un chercheur a baptisé la « trilogie létale » de l'IA agentique.

La menace n'est pas purement théorique. Des chercheurs de Positive Technologies ont divulgué la CVE-2026-25253, une vulnérabilité de haute sévérité (score CVSS 8.8) permettant de fuiter des tokens d'authentification via une URL de passerelle modifiée et d'obtenir une exécution de code à distance. Des scanners ont détecté plus de 21 000 instances accessibles dans les heures suivant la publication. OpenClaw a publié le patch v2026.1.29, mais de nombreux utilisateurs ont tardé à mettre à jour, laissant le code d'exploitation fonctionnel pendant plusieurs jours sur des nœuds non patchés.

Le problème dépasse la seule CVE. Les chercheurs de VirusTotal et OpenSourceMalware ont découvert plus de 300 extensions vérolées sur ClawHub, la marketplace communautaire de l'agent. Cachées sous l'apparence d'outils d'optimisation crypto, ces extensions étaient en réalité des trojans, des infostealers, des keyloggers ou des backdoors. La politique de sécurité d'OpenClaw permettait à quiconque de mettre en ligne ses extensions sans aucun contrôle. Un audit Snyk a parallèlement conclu que 47 % de l'ensemble des extensions disponibles présentaient au moins un problème de sécurité.

SecurityScorecard a trouvé plus de 40 000 instances OpenClaw exposées, avec 63 % des déploiements vulnérables et près de 13 000 exploitables via une exécution de code à distance. Et comme l'a documenté Bitsight, les installations exposées ont suivi exactement la courbe de popularité du projet : les gens installaient, configuraient et exposaient leur agent au rythme précis où ils en entendaient parler sur les réseaux sociaux. La plus forte augmentation journalière d'instances détectées — 177 % — s'est produite le lendemain du pic de recherches Google pour « Clawdbot ».


Meta, Valere, Massive : les entreprises tirent le signal d'alarme

Le 26 janvier, Jason Grad, cofondateur et CEO de Massive (qui fournit des outils de proxy Internet à des millions d'utilisateurs), envoie un message Slack tardif à ses 20 employés avec un émoji sirène rouge : « Vous avez probablement vu Clawdbot trending sur X/LinkedIn. Bien que sympa, il est actuellement non vérifié et à haut risque pour notre environnement. Merci de garder Clawdbot hors de tout le matériel de l'entreprise et loin des comptes liés au travail. »

Chez Meta, la mesure est encore plus radicale. Un exécutif anonyme a récemment dit à son équipe de garder OpenClaw hors de leurs ordinateurs portables de travail habituels, sous peine de risquer leur emploi. Il estime que le logiciel est imprévisible et pourrait conduire à une violation de la vie privée même dans des environnements autrement sécurisés. La situation est paradoxale : Meta elle-même développe activement ses propres agents IA, ce qui rend la distinction entre « développement interne contrôlé » et « outil externe au comportement inconnu » particulièrement éloquente.

Chez Valere, prestataire qui travaille notamment avec Johns Hopkins University, le CEO Guy Pistone a réagi promptement : « Si OpenClaw accédait à la machine d'un de nos développeurs, il pourrait accéder à nos services cloud et aux informations sensibles de nos clients, notamment les informations de carte de crédit et les bases de code GitHub. Et il est assez bon pour nettoyer certaines de ses actions, ce qui me fait également peur. » Pistone a néanmoins accordé 60 jours à une équipe de recherche pour travailler sur une sécurisation de l'outil, en l'isolant sur une ancienne machine déconnectée du réseau principal. Leur rapport préconise de limiter strictement les entités autorisées à donner des ordres à OpenClaw, d'imposer un mot de passe sur le panneau de contrôle pour empêcher les accès non sollicités, et d'accepter que « le bot peut être trompé » — une concession philosophique importante pour n'importe quel outil déployé en production.

La « trilogie létale » et le problème de l'imprévisibilité agentique

Ce qui distingue la menace posée par OpenClaw des vulnérabilités logicielles classiques, c'est précisément son caractère agentique. Contrairement aux logiciels traditionnels qui suivent des règles prédéterminées, les outils d'IA agentiques comme OpenClaw peuvent prendre des décisions indépendantes et effectuer des actions que même leurs opérateurs n'anticipent pas pleinement. C'est exactement cette imprévisibilité qui inquiète les responsables de la sécurité des entreprises.

Les chercheurs parlent d'une surface d'attaque inédite : un agent qui dispose à la fois d'accès privilégiés au système de fichiers, de capacités de communication réseau vers l'extérieur, et d'une exposition permanente à du contenu non maîtrisé (e-mails entrants, messages, pages web). Chacune de ces caractéristiques est déjà problématique seule ; leur combinaison est qualifiée de « trilogie létale ». Un attaquant peut injecter des instructions malveillantes dans un e-mail ordinaire — une technique d'injection de prompt indirecte — et l'agent les exécutera avec les privilèges de l'utilisateur.

La combinaison de privilèges élevés, d'adoption virale et de confusion momentanée des identités transforme un outil d'automatisation déjà sensible en une cible très attractive. Le fait qu'OpenClaw soit capable de « nettoyer ses traces » après avoir agi complique encore davantage le travail des équipes forensics. Steinberger lui-même a conseillé de ne jamais activer le « God Mode » — l'accès root sans restriction — sur des machines de production. Un conseil qui, dans la réalité de l'adoption grand public, a bien souvent été ignoré.


Les startups qui jouent la carte opposée

Face aux grands comptes qui bannissent, quelques startups audacieuses vont dans l'autre sens. La société viennoise EnliteAI a officiellement fourni à tous ses employés des Mac Mini pour installer l'agent IA. Son CEO Clemens Wasner a annoncé : « EnliteAI est officiellement Clawd-native ! » Les Mac Mini servent d'infrastructure locale pour faire tourner les bots OpenClaw. D'autres startups déploient l'outil sur des machines virtuelles isolées ou des environnements cloud dédiés, cherchant à bénéficier des gains de productivité tout en contenant le risque.

Jan-Joost den Brinker, CTO chez Durbink, a opté pour une approche pragmatique : il a acheté une machine séparée, déconnectée des systèmes de l'entreprise, pour permettre à ses équipes de tester OpenClaw en toute sécurité. La stratégie de Valere — bannir d'abord, investiguer ensuite, sécuriser si possible — est peut-être la plus représentative de l'attitude raisonnée que la majorité des professionnels cherche à adopter. Pas de rejet idéologique, mais pas non plus d'intégration précipitée dans des environnements sensibles.

OpenAI et l'avenir d'OpenClaw sous fondation

Le rachat fonctionnel de Steinberger par OpenAI pose une question centrale sur l'avenir du projet. OpenClaw est open source, ce qui permet à quiconque d'inspecter et de modifier librement le code. Ce caractère ouvert a probablement contribué à son adoption rapide en permettant aux utilisateurs de construire de nouvelles intégrations. Mais l'arrivée dans l'orbite d'OpenAI modifie inévitablement la dynamique : la fondation permettra-t-elle de maintenir l'indépendance du projet, ou OpenClaw deviendra-t-il un cheval de Troie pour l'écosystème propriétaire d'OpenAI ?

Conscient des problèmes de sécurité des extensions, OpenClaw a décidé de passer un accord avec VirusTotal afin de scanner les extensions avant leur mise en ligne, et de les rejeter si nécessaire. C'est une étape dans la bonne direction, mais qui reste insuffisante face à l'ampleur de la surface d'attaque. La question de la gouvernance d'un tel outil — qui décide des mises à jour de sécurité, des permissions accordées, des intégrations autorisées — n'a pas encore trouvé de réponse satisfaisante.

OpenClaw s'est également répandu bien au-delà de la Silicon Valley. En Chine, Baidu prévoit d'intégrer l'outil directement dans son application mobile principale, tandis qu'Alibaba, Tencent et ByteDance explorent des configurations compatibles avec leurs propres LLM et messageries. Le ministère chinois de l'industrie a d'ores et déjà averti que l'agent IA open source pourrait poser des risques de sécurité significatifs s'il est mal configuré. Une mise en garde qui résonne étrangement à l'unisson avec celle des RSSI occidentaux.

Ce que OpenClaw révèle sur l'ère agentique

L'affaire OpenClaw n'est pas simplement l'histoire d'un outil mal sécurisé qui se propage trop vite. C'est un cas d'école sur les défis structurels que les agents IA autonomes font peser sur la sécurité des entreprises. Les paradigmes de sécurité traditionnels (listes blanches d'applications, politiques DLP, surveillance réseau) ont été conçus pour des logiciels dont le comportement est déterministe et prévisible. Un agent IA qui improvise, qui apprend de son environnement et qui peut être manipulé via du contenu anodin échappe à ces catégories.

Les entreprises vont devoir développer de nouveaux modèles : sandboxing comportemental des agents, surveillance des actions avec capacité de rollback, authentification forte des « donneurs d'ordre » pour éviter qu'un e-mail malveillant ne pilote un agent à la place de son propriétaire légitime, et audits réguliers des extensions tierces. La bataille entre innovation agentique et maîtrise des risques vient de commencer — et OpenClaw en a tiré le premier coup de feu.

Sources : Security Scorecard, Cisco, Cyera, Jason Grad, Walter Haydock, Palo Alto Networks

Et vous ?

La politique « interdire d'abord, évaluer ensuite » adoptée par Meta et d'autres est-elle la bonne approche, ou freine-t-elle dangereusement l'adoption de technologies transformatrices ?

L'architecture « local-first » d'OpenClaw est-elle une vraie garantie de confidentialité, ou donne-t-elle juste à l'utilisateur une fausse impression de contrôle sur ses données ?

L'open source est-il un avantage ou un inconvénient en matière de sécurité pour des outils agentiques aussi puissants ? La capacité à auditer le code compense-t-elle le risque que n'importe qui publie des extensions malveillantes ?

Le rachat fonctionnel de Steinberger par OpenAI sonne-t-il le glas de l'indépendance d'OpenClaw, ou la structure en fondation est-elle une garantie crédible ?

Les entreprises sont-elles prêtes à investir dans de nouveaux outils de sécurité spécifiques aux agents IA, ou vont-elles simplement interdire ces outils jusqu'à ce qu'un standard industriel émerge ?