Claws constitue désormais une nouvelle couche ajoutée au-dessus des agents LLM

 (twitter.com/karpathy)
14 points par GN⁺ 2026-02-22 | 2 commentaires | Partager sur WhatsApp
  • Depuis l’ajout des agents au-dessus des LLM, une couche Claws est apparue au-dessus d’eux pour prendre en charge l’orchestration, la planification, la gestion du contexte, l’appel d’outils et la persistance
  • Elle ajoute un niveau d’abstraction à la structure d’exécution des agents afin d’obtenir un niveau plus élevé d’automatisation et de configurabilité
  • OpenClaw représente environ 400 000 lignes de code, avec des inquiétudes sur une architecture qui délègue des données personnelles et des clés
  • De nombreux risques de sécurité sont apparus : instances exposées, vulnérabilités RCE, compromission de la chaîne d’approvisionnement, cas de skills malveillantes ou corrompues dans le registre
  • L’écosystème actuel ressemble à un « Far West » et à un environnement proche du cauchemar en matière de sécurité
  • NanoClaw repose sur un moteur central d’environ 4 000 lignes et présente une architecture relativement légère
    • Une taille suffisante pour pouvoir tenir mentalement dans son ensemble, avantageuse pour la gestion, l’audit et la flexibilité
  • Par défaut, toute exécution se fait dans un environnement conteneurisé
  • Au lieu de fichiers de configuration, il adopte une méthode de composition via des skills
    • La commande /add-telegram indique à l’agent comment modifier réellement le code
    • Une nouvelle approche fondée sur l’IA qui réduit les fichiers de configuration complexes et les structures de branchement conditionnel
  • La stratégie méta consistant à créer un dépôt aussi facile que possible à forker, puis à laisser les skills le transformer en diverses configurations, est excellente
  • Plusieurs projets dérivés sont apparus, comme nanobot, zeroclaw, ironclaw et picoclaw
  • Il existe aussi des alternatives d’hébergement cloud, mais un environnement local est plus avantageux pour l’expérimentation et l’extension
    • Il facilite aussi la connexion à des appareils de domotique basés sur le réseau local
  • L’attrait conceptuel d’un agent numérique personnel fonctionnant sur un appareil physique
  • Claws s’impose comme une nouvelle couche de la stack IA et définit la structure de l’étape qui suit les agents
  • Ma configuration finale précise n’est pas encore arrêtée, mais j’en attends beaucoup en tant qu’architecture expérimentale et extensible

À lire aussi

2 commentaires

 
xguru 2026-02-22

NanoClaw – assistant Claude en TypeScript de 500 lignes qui s’exécute dans l’environnement d’isolation de conteneurs d’Apple

Au moment de sa publication, il faisait 500 lignes, mais on dirait qu’il en fait maintenant 4 000 ??
 
GN⁺ 2026-02-22
Commentaires sur Hacker News

  • Plusieurs commentaires contenant des attaques personnelles ont été supprimés
    Sur HN, les attaques personnelles sont absolument interdites, même en cas de désaccord, car elles nuisent à l’objectif du site
    Si vous n’avez pas relu récemment les règles, il est vivement recommandé de le faire

    • Il n’y avait pas d’attaques personnelles, seulement de la frustration face au rebranding incessant de la même fonctionnalité. Les gens s’énervent parce qu’il n’y a pas de véritable innovation. Si cela s’était produit au début des API REST, la réaction aurait été la même

  • Du point de vue de la sécurité, avoir un Claw revient un peu à avoir un assistant humain ou un consultant
    De la même façon qu’on ne leur donnerait pas accès à ses e-mails personnels ou à son compte bancaire, il faut configurer un e-mail séparé et une carte bancaire d’entreprise limitée

    • Pourtant, il est courant que des responsables politiques ou des dirigeants laissent leur assistant gérer leurs e-mails ou leurs réseaux sociaux
      Sans forcément donner accès au compte bancaire, certains accordent aussi des accès à leur comptable ou conseiller financier

  • Quand j’ai créé mon outil d’agent en CLI, j’y ai ajouté un garde-fou
    Pour effectuer une action risquée, comme envoyer un grand volume d’e-mails, il faut saisir un mot de passe à usage unique (OTP)
    L’outil demande à l’agent de solliciter l’utilisateur pour l’OTP, et rien ne peut continuer sans cette saisie
    Je n’ai pas encore essayé Claw, mais je pense qu’une structure avec intervention humaine de ce type est indispensable
    C’est aussi pour cela que je développe moi-même tous mes CLI pour agents afin de garder davantage de contrôle

    • L’informatique actuelle ressemble de plus en plus à Sim City : on pose un plan vague et on espère que le système se débrouillera tout seul. J’ai l’impression qu’on a perdu la beauté des règles prévisibles
    • Une autre approche consiste à imiter les circuits de validation en entreprise. Les tâches importantes ont un approbateur dédié, et l’agent lui envoie un message pour obtenir son feu vert. On fait alors confiance au canal d’approbation plutôt qu’à un OTP
    • Mais cela soulève la question de savoir comment faire respecter concrètement une règle comme « ne pas envoyer d’e-mail à trop de personnes »
    • Je fais tourner mon Claw moi-même sur fly.io. Les actions nécessitant une intervention humaine, comme les e-mails ou les messages Slack, sont isolées en « activity », ce qui génère un lien, et l’exécution n’a lieu qu’après mon approbation
    • J’ai créé une version avec un LLM interne et une couche externe d’orchestration des autorisations. À mon avis, l’OTP n’est pas nécessaire. La couche externe m’envoie une alerte sur Signal, et je décide d’approuver ou non à chaque fois

  • Si Claw avait existé plus tôt, Internet aurait peut-être été différent
    Une structure en menus fondée sur le simple protocole Gopher aurait peut-être été plus adaptée aux LLM
    Si les interactions centrées sur des agents côté utilisateur se généralisent, on pourrait évoluer dans cette direction

    • Il faut construire cet avenir nous-mêmes. Un monde où tous les services existent uniquement sous forme d’API, et où mon agent les assemble pour moi
      Si YouTube, Gmail, HN, les banques et même les compagnies d’électricité n’étaient que des API, l’utilisateur pourrait composer l’interface qu’il souhaite
      Les entreprises s’y opposeraient parce que cela casserait leurs monopoles, mais la technologie y gagnerait en valeur tout en étant moins rentable
    • Vers 1992, avant l’arrivée de la balise IMG, j’avais expérimenté en créant des paires DNS comme foo-www et foo-http
      Quand la proposition CGI est arrivée, je me suis dit : « personne n’utilisera ça », mais tout le monde a fini par implémenter cette spécification. Je regrette qu’on ait perdu cette souplesse initiale
    • MCP va déjà dans cette direction. C’est une structure où les LLM accèdent aux services par du texte
      Moi, je parle avec mon instance OpenClaw sur mon Mac via Telegram. D’une certaine manière, j’utilise déjà une nouvelle interface à la place de l’interface d’application classique
      Il semble plus logique de concevoir des interfaces centrées sur les agents plutôt que des fenêtres pour humains, en ne gardant qu’une interface de vérification
    • Techniquement, tous les sites web pourraient fournir une API, mais la plupart ne le veulent pas à cause d’un problème d’incitations. L’exemple de la Google Search API l’illustre bien
    • Il est probable que Claw n’aurait pas pu exister plus tôt. Les données d’entraînement des LLM proviennent de la diffusion du WWW, et sans cette infrastructure, l’apprentissage à grande échelle lui-même aurait été impossible

  • Le vrai point central de Claw, c’est qu’il s’agit d’un agent centré sur l’utilisateur
    L’IA que les gens n’aiment pas est celle que contrôlent les entreprises. Claw est possédé par l’utilisateur, qui peut même lui donner un nom
    C’est la différence entre un compagnon comme R2D2 et un robot humanoïde cloné qui essaie de me vendre quelque chose

    • D’accord. Les acteurs déjà en place, comme les éditeurs d’OS, n’essaieront sans doute d’intégrer ce type de modèle centré sur l’utilisateur à leurs produits qu’après une certaine phase de chaos
    • Mais tout dépend de qui est « l’utilisateur ». Est-ce la personne qui a lancé l’agent, ou bien celle qui interagit avec lui ? Cette dernière peut très bien devenir la victime

  • Je me demandais ce qu’était exactement un « Claw »
    Est-ce une IA qui accède à des données personnelles comme les e-mails ?
    Est-ce sûr si on l’exécute avec un LLM local dans un conteneur ?

    • À mes yeux, c’est une nouvelle forme d’assistant numérique personnel
      • Utilisation directe par un individu
      • Accès à un terminal capable d’exécuter du code
      • Intégration avec des applications de chat
      • Capacité d’exécuter des tâches planifiées
      • Accès à des données sensibles comme les e-mails, calendriers et fichiers
        Cela peut tourner aussi bien sur du matériel grand public que sur un VPS. Un nouveau marché est en train d’émerger
    • Pour moi, c’est une sorte de cron pour agents : quelque chose qui s’exécute périodiquement, vérifie la boîte de réception et traite automatiquement certaines tâches
      Il agit de façon asynchrone en utilisant mes identifiants. C’est simple, mais intéressant
    • Mais faire tourner cela dans un conteneur ne supprime pas le risque fondamental
    • Certains tournent Claw en dérision comme un simple « état psychologique consistant à s’exposer imprudemment pour ne pas paraître largué par la mode de l’IA »
    • Techniquement, Claw est un agent dans une file : autrement dit, des boucles combinant LLM et outils, reliées entre elles par des files

  • Mon résumé : OpenClaw présente un niveau de risque de sécurité de 5/5
    Même un NanoClaw parfaitement audité serait plutôt à 4/5
    L’intervention humaine aide, mais l’utilité chute alors rapidement
    Les LLM sont utiles pour générer des garde-fous à partir de spécifications en langage naturel ou de tests, mais à mes yeux la stabilité est plus importante

  • Le terme « Claw » va probablement s’imposer pour désigner les agents IA personnels du type OpenClaw

    • Il est intéressant d’observer la diffusion virale du terme. Plus tard, cela pourrait donner des maux de tête aux avocats en matière de marque, un peu comme « press » dans l’écosystème WordPress

  • La mode actuelle des workflows à base d’agents ignore un problème fondamental : l’absence de frontière de sécurité
    Si un LLM dispose d’un accès shell illimité et qu’il ingère des données non fiables, l’injection indirecte de prompt est inévitable
    De plus, bourrer le contexte avec d’énormes system prompts et des schémas d’outils dégrade les capacités de raisonnement de base du modèle et accroît sa vulnérabilité

    • En réalité, tout le monde connaît ces risques, mais la commodité est tellement grande qu’on les accepte quand même
    • Le Information Flow Control serait idéal, mais impossible à mettre en œuvre tant que les protocoles de l’ensemble des canaux intégrés ne changent pas
    • Je serais curieux qu’on partage des travaux de recherche sur le sujet

  • La marque Claw du store est sortie avant GTA VI
    Après en avoir construit un moi-même, j’ai constaté que 50 lignes de code suffisaient
    Quelques lignes pour une bibliothèque Telegram et claude -p prooompt suffisent
    On peut prendre comme référence le code d’exemple ULTRON
    Bien sûr, l’agent délègue à l’extérieur, mais avec 50 lignes de Bash on peut déjà obtenir un résultat presque parfait

    • Mais pour que ce soit un vrai Claw, il faut quand même ajouter cron