Lancé fin 2025 sous le nom de Clawdbot, OpenClaw est devenu en quelques semaines l'un des projets open source à la croissance la plus fulgurante de l'histoire de GitHub. Un agent IA capable de lire vos mails, gérer votre calendrier, exécuter des commandes shell, piloter vos services connectés le tout en autonomie, vingt-quatre heures sur vingt-quatre. La promesse était séduisante. La réalité de sécurité, elle, s'est révélée catastrophique. Depuis janvier 2026, les CVE s'accumulent, les chercheurs tirent la sonnette d'alarme, et Microsoft lui-même déconseille son usage en environnement professionnel. Si vous utilisez OpenClaw, voici pourquoi vous devriez partir du principe que votre système est déjà compromis.OpenClaw, initialement appelé Clawdbot, puis MoltBot, est rapidement devenu l'un des projets open source les plus adoptés de l'histoire du développement logiciel. Son principe est simple mais puissant : il connecte un grand modèle de langage externe (typiquement Claude d'Anthropic, GPT d'OpenAI ou DeepSeek) à un environnement d'exécution persistant doté d'un accès système étendu. L'utilisateur communique avec l'agent via des applications de messagerie, et celui-ci agit : il exécute des commandes shell, lit et modifie des fichiers, envoie des e-mails, planifie des tâches, navigue sur le Web, et gère des services connectés via OAuth. Il stocke une mémoire à long terme entre les sessions, apprenant et s'adaptant au fil du temps.
Le problème ? La croissance hyper-rapide du projet a dépassé la maturité de son architecture de sécurité. Dès janvier 2026, des chercheurs ont découvert des milliers d'instances exposées publiquement. Censys en a dénombré plus de 21 000 accessibles directement sur Internet, beaucoup sans chiffrement HTTPS.
Une architecture conçue pour tout faire... et donc pour tout exposer
Le vrai problème d'OpenClaw n'est pas une vulnérabilité isolée. C'est son modèle de conception fondamental. La philosophie de conception privilégie la capacité et la commodité : accès complet au disque, permissions terminal, tokens OAuth, tout cela est routinièrement accordé pour rendre l'agent fonctionnel. L'un des mainteneurs du projet l'a lui-même formulé sans détour dans le Discord officiel du projet : « Si vous ne comprenez pas comment exécuter une ligne de commande, ce projet est beaucoup trop dangereux pour que vous l'utilisiez en sécurité. »
Les chercheurs en sécurité parlent d'une « triade létale » : accès à des données privées, exposition à des contenus externes non fiables, et capacité de communication vers l'extérieur. Parce qu'OpenClaw fonctionne comme un démon en arrière-plan avec de larges permissions système, une seule entrée malveillante peut mener à une exfiltration catastrophique de données.
La classe CWE-269 de vulnérabilités (mauvaise gestion des privilèges) est un problème persistant en ingénierie logicielle depuis des décennies. Mais les enjeux sont bien plus élevés lorsque le système vulnérable s'est vu accorder explicitement l'accès à des dizaines d'autres services et plateformes simultanément.
CVE-2026-25253 : la vulnérabilité qui a tout changé
La faille la plus critique reste CVE-2026-25253, découverte par le chercheur Mav Levin en janvier 2026 : un bug de détournement WebSocket cross-site noté 8,8 sur l'échelle CVSS. N'importe quel site Web pouvait voler le token d'authentification de l'utilisateur et exécuter du code arbitraire sur sa machine via un simple lien malveillant.
Le vecteur d'attaque est particulièrement insidieux. Même un utilisateur ayant configuré OpenClaw sur localhost (en croyant être protégé) est vulnérable, car la requête WebSocket provient du propre navigateur de la victime, ce qui permet à l'attaquant de pivoter vers localhost sans nécessiter de port ouvert ni d'adresse IP publique.
Le scénario d'exploitation se déroule en trois étapes : d'abord, l'attaquant incite la victime à visiter une page malveillante (via une injection dans un e-mail, un lien Slack, un plugin ClawHub piégé, etc.). Ensuite, le code injecté s'échappe du périmètre d'isolation prévu. Enfin, avec le token dérobé, l'attaquant obtient un accès de niveau opérateur à l'API du gateway, lui permettant de modifier la configuration, d'invoquer des actions privilégiées et d'exécuter des commandes arbitraires sur le système hôte avec les...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.