OpenClaw ressemble à un rêve, mais se rapproche d’un cauchemar de sécurité pour les agents autonomes

 (composio.dev)
3 points par GN⁺ 2026-03-23 | 1 commentaires | Partager sur WhatsApp
  • OpenClaw, l’agent autonome de nouvelle génération basé sur Opus, intègre diverses applications comme l’e-mail, le calendrier et la domotique pour fonctionner comme un assistant personnel
  • Cependant, de nombreuses vulnérabilités ont été découvertes, notamment l’absence de validation des skills SkillHub, l’exposition de jetons et la contamination de la mémoire, ce qui entraîne de graves risques de sécurité
  • Plus de 30 000 instances ont été exposées sans authentification, et des possibilités de prompt injection ainsi que d’attaques de la chaîne d’approvisionnement ont également été confirmées
  • Palo Alto Networks a inclus les problèmes structurels d’OpenClaw dans les 10 principaux risques OWASP liés aux agents
  • En réponse, TrustClaw est présenté comme une alternative centrée sur la sécurité, avec OAuth géré, sandbox distant et contrôle du moindre privilège

OpenClaw : entre idéal et cauchemar

  • Depuis AutoGPT et BabyAGI en 2023, OpenClaw attire l’attention comme agent autonome de nouvelle génération basé sur Opus
    • Il peut contrôler les fichiers locaux, le terminal, le navigateur, Gmail, Slack et même des systèmes domotiques
    • L’acquisition de son fondateur, Peter Steinberger, par OpenAI a également fait parler d’elle
  • Derrière ses capacités impressionnantes se cachent de graves vulnérabilités de sécurité
    • Malgré ses hautes performances, son architecture de sécurité est jugée fragile

OpenClaw : la promesse d’une automatisation de rêve

  • OpenClaw est un agent de type assistant personnel qui automatise des tâches du quotidien comme le tri des e-mails, la planification de réunions ou la lecture de musique
    • Il fonctionne via Telegram, sur la base du modèle Claude Opus 4.5 d’Anthropic
    • Il peut intégrer diverses applications comme Notion, Todoist, Spotify, Sonos et Gmail
  • Plus son utilisation augmente, plus l’apprentissage de schémas et l’automatisation des workflows se renforcent, ce qui lui permet d’adopter des comportements de plus en plus personnalisés
    • Exemple : lors d’une réservation de restaurant, il peut reconnaître les frais d’annulation et les refléter dans le calendrier
  • Mais des comportements inattendus ont aussi été observés en usage réel
    • Par exemple, il a mal interprété une conversation Slack et s’est automatiquement mis en statut de congé

  • Le pacte faustien entre sécurité et vie privée

    • OpenClaw accède à des données sensibles comme les messages, les codes 2FA, les comptes bancaires, le calendrier et les contacts
    • À la place d’un assistant humain, l’utilisateur doit accepter de nouveaux risques comme la prompt injection, les hallucinations du modèle ou les erreurs de configuration
    • Un humain peut être tenu juridiquement responsable, un agent non

  • Faut-il l’utiliser ?

    • OpenClaw a tendance à exécuter rapidement des actions en ignorant les garde-fous existants
    • Il nécessite des permissions d’accès à des applications externes comme WhatsApp ou Telegram, ce qui peut être exploité comme vecteur d’attaque
    • L’écosystème technique n’étant pas encore mûr, il est recommandé aux utilisateurs ordinaires d’éviter son usage

OpenClaw : la réalité du cauchemar sécuritaire

  • Vulnérabilités des skills ClawdHub

    • OpenClaw télécharge et utilise des skills créés par les utilisateurs depuis SkillHub
    • En l’absence de procédure de vérification de sécurité, des skills malveillants ont été diffusés
    • Jason Melier de 1Password a découvert qu’un skill “Twitter” installait un malware voleur d’informations
    • Ce skill exécutait un payload en deux étapes via un lien, contournant les contrôles de sécurité de macOS
    • L’analyse VirusTotal a confirmé qu’il pouvait voler des informations sensibles comme les cookies et les clés SSH

  • Simulation d’attaque de la chaîne d’approvisionnement

    • Jamieson O’Reilly a créé un faux skill intitulé “What would Elon Do” et a manipulé son nombre de téléchargements
    • Des développeurs de 7 pays l’ont exécuté, confirmant l’exécution de commandes à distance
    • Aucune donnée réelle n’a été collectée, mais la même méthode pourrait servir à une attaque réelle
    • Selon l’analyse de Snyk, 283 skills sur 3 984 (7,1 %) présentaient une vulnérabilité d’exposition d’identifiants en clair
    • Un scan des skills a ensuite été introduit en partenariat avec VirusTotal

  • Menace persistante de prompt injection

    • OpenClaw remplit les trois conditions de la “trinité fatale” de Simon Willison
      • accès aux données personnelles
      • exposition à des contenus non fiables
      • capacité de communication externe
    • Un attaquant peut manipuler l’agent à partir du simple texte d’un message, d’un e-mail ou d’un site web
    • Gary Marcus a dénoncé une architecture qui contourne les protections du système d’exploitation, en soulignant que les politiques d’isolation applicative ne s’appliquent pas
    • Sur Moltbook, une plateforme proche de Reddit, des activités de pump and dump crypto entre agents ont été observées

  • Risques liés aux services intégrés

    • OpenClaw propose plus de 50 intégrations comme Slack, Gmail, Teams et Trello
    • Plus les intégrations se multiplient, plus la surface d’attaque s’élargit, exposant tous les services connectés en cas de compromission

  • Abus d’authentification et permissions de jetons excessives

    • Les jetons OAuth et les clés API sont stockés dans un fichier local (auth-profiles.json)
    • Une authentification faible ou une passerelle exposée crée un risque de vol de jetons
    • Avec ces jetons volés, un attaquant peut usurper complètement l’utilisateur sur Slack, Gmail, etc.

  • Problèmes de structure mémoire

    • La mémoire d’OpenClaw n’est qu’un simple ensemble de fichiers Markdown
    • Même si un agent infecté la manipule, cela reste indétectable
    • Une contamination de la mémoire peut infecter toute l’instance sur le long terme

  • Plus de 30 000 instances exposées

    • Au début du déploiement, un grand nombre d’instances installées sans prise en compte de la sécurité ont été exposées
    • Une vulnérabilité approuvant automatiquement le trafic localhost permettait un accès sans authentification
    • Censys a détecté 21 000 instances publiquement exposées, BitSight plus de 30 000
    • Des correctifs ont ensuite été déployés, mais l’ampleur des dégâts était déjà considérable

  • Analyse au regard de l’OWASP Top 10

    • Palo Alto Networks a cartographié les vulnérabilités d’OpenClaw sur les 10 principaux risques OWASP liés aux agents
    • Principaux points : prompt injection, autonomie excessive, contamination de la mémoire, absence de sécurité des intégrations, échec de séparation des privilèges, absence de supervision à l’exécution, etc.

Renforcement de la sécurité d’OpenClaw et alternatives

  • Environnement conteneurisé isolé

    • Exécution recommandée sur un équipement séparé (conteneur Docker), et non sur l’ordinateur principal
    • Éviter de monter tout le répertoire personnel et exécuter avec un utilisateur non administrateur
    • Ne pas monter le socket Docker et activer un profil seccomp pour limiter les appels système

  • En cas de déploiement sur un VPS cloud

    • Lier la passerelle à 127.0.0.1 et n’autoriser l’accès que via VPN ou tunnel privé
    • Restreindre l’accès SSH par pare-feu et utiliser Docker en mode rootless
    • Prévoir un plan de rotation des jetons et minimiser le paramètre trusted-proxy

  • Utiliser des comptes séparés

    • Créer des comptes Gmail, calendrier et 1Password dédiés à OpenClaw
    • Traiter l’agent comme une identité numérique distincte afin de maintenir une séparation des données

  • Gestion sécurisée des intégrations

    • Via Composio, utiliser une couche d’authentification gérée sans stocker directement les jetons OAuth
    • Contrôler centralement les permissions par application et définir des scopes d’accès granulaires
    • Gérer automatiquement le cycle de vie des identifiants (connexion, renouvellement, rotation)

  • Principe du moindre privilège

    • Recommandation d’une architecture multi-agents séparant les droits en lecture seule et en écriture
    • Limiter les droits d’écriture dans le temps et réduire leur portée à l’échelle de la ressource
    • Pour les actions destructrices comme supprimer, partager ou transférer, une validation humaine est indispensable
    • Effectuer régulièrement des audits de permissions dans le tableau de bord Composio

  • Visibilité sur l’exécution des outils

    • Composio suit tout l’historique d’exécution des intégrations applicatives de l’agent
    • Cela facilite l’identification des causes et la restauration en cas de problème

TrustClaw : une alternative pensée pour la sécurité

  • TrustClaw a été développé pour répondre aux problèmes de sécurité d’OpenClaw
    • Grâce à un OAuth géré, les jetons ne sont pas stockés sur disque
    • Un contrôle d’accès basé sur les scopes n’accorde que les privilèges minimaux nécessaires
    • Une exécution de code en sandbox distant empêche d’endommager le système local
    • Il offre une configuration en un clic, une exploitation des agents 24/7 et une visibilité complète de l’exécution

Conclusion

  • TrustClaw propose un assistant IA totalement isolé intégrant de manière sécurisée e-mail, calendrier et coffre d’identifiants
  • Il ne peut accéder qu’aux documents et dossiers partagés ; toutes les autres données sont bloquées
  • L’IA reste à un stade encore immature et doit être utilisée avec des garde-fous et une conception de reprise
  • Derrière le confort de l’automatisation, il faut toujours maintenir un équilibre entre sécurité et confiance

À lire aussi

1 commentaires

 
GN⁺ 2026-03-23
Réactions sur Hacker News

  • Pour répondre au tweet cité dans l’article, je me demande pourquoi les exemples de technologies du futur sont toujours des trucs comme planifier des rendez-vous sans aucune vision ou réserver des billets d’avion.
    Ce sont déjà des tâches simples à faire manuellement, donc ça ressemble davantage à une démonstration de productivité qu’à une véritable innovation.
    Il existe de vrais cas impressionnants de flux d’agents, il faudrait relever un peu le niveau des exemples.

    • Cette vague de l’IA attire beaucoup de « gars à idées ». Ils pensent avoir une idée géniale, puis se heurtent au fait qu’une fois implémentée, elle n’est pas si intéressante.
      Mais ils restent contents de publier des billets de blog du genre « mon setup Claw envoie automatiquement des notifications de commentaires LinkedIn ».
    • Réserver un vol, c’est justement le genre de tâche que je préfère gérer moi-même avec toute mon attention. Le coût est élevé et les détails comptent.
      En revanche, qu’un assistant vocal ajoute un élément à une liste de courses, ça me va. Si ça se trompe, ce n’est pas dramatique.
    • Je n’utilise pas OpenClaw, mais j’ai créé mon propre petit agent qui me donne un briefing matinal chaque matin.
      Il lit mes e-mails, mon calendrier, Slack, la météo, ma liste de tâches, mon journal, etc., puis il me fait un résumé.
      Ça me permet de comprendre rapidement ma journée et de me concentrer sur l’essentiel.
      Et si je lui demande une recherche via le chat, il organise les résultats dans un fichier consultable immédiatement sur tous mes appareils.
      C’est juste un petit projet perso, mais j’ai l’impression qu’il me fait gagner une heure par jour.
    • Certaines personnes veulent une IA qui fasse office d’assistant personnel, comme ceux des PDG ou des riches. Je pense que c’est un bon objectif.
      Les smartphones ou les PDA n’ont jamais vraiment rempli ce rôle, donc il faut maintenant dépasser cette limite.
    • Il y a un manque d’imagination, mais aussi le fait qu’à l’instant T, les exemples vraiment révolutionnaires peuvent sembler totalement absurdes.
      Un peu comme si, en 2007, on avait dit « les smartphones vont changer le monde ».
      Si on avait affirmé à l’époque qu’une appli de partage de photos bouleverserait l’industrie du voyage, ou qu’une appli de vidéos courtes remplacerait la télévision, tout le monde aurait ri.

  • Quand on utilise OpenClaw, il faut créer des comptes séparés. Gmail, Calendar, 1Password, tout doit être distinct et traité comme une entité indépendante.
    Mais comme l’explique l’article de Simon Willison, cette architecture traîne fondamentalement un problème impossible à rendre sûr.

    • Je ne suis pas d’accord. Mon OpenClaw tourne dans une VM Ubuntu avec un compte Gmail et un compte WhatsApp distincts.
      Je lui ai confié la coordination d’un voyage de groupe avec des amis : il publiait chaque jour le planning sur WhatsApp et gérait les petites questions à ma place.
      Grâce à ça, j’ai pu me concentrer sur le temps passé avec mes amis. Ça vaut largement les 15 dollars par mois de la SIM.
    • Le modèle selon lequel il faudrait « tout lui donner comme accès » est mauvais.
      J’utilise un agent IA que j’ai développé moi-même, qui n’a accès qu’à certaines conversations WhatsApp et ne peut même pas lire les autres numéros.
      Pour le calendrier, il n’a qu’un accès en lecture ; pour GitHub, il ne peut accéder qu’aux issues. La clé, c’est un contrôle granulaire des permissions.
    • Sur HN, je vois souvent des commentaires du genre « si on ne lui donne pas les données, ça ne sert à rien ; si on les lui donne, c’est dangereux ».
      Mais ceux qui l’ont réellement utilisé ne sont pas aussi catégoriques. J’ai moi-même arrêté OpenClaw un moment à cause d’un bug, et je n’ai pas ressenti de manque.
      Il n’est pas nécessaire de lui donner toutes ses données.
    • OpenClaw peut déjà être très utile sans données personnelles. On peut aussi l’utiliser avec des données publiques ou des sources externes.

  • Je pense qu’il est impossible de rendre OpenClaw totalement sûr, quels que soient les efforts fournis.
    Cela n’a de sens que dans des domaines contrôlés, comme un environnement B2B ou l’automatisation entre systèmes de confiance.
    Dès qu’on sort de ce cadre, on entre dans des situations imprévisibles, voire potentiellement hostiles.

  • Je suis en train d’implémenter un concept similaire dans une distribution basée sur NixOS appelée Keystone.
    Chaque agent dispose d’un compte utilisateur, d’une adresse e-mail et d’un accès SSH indépendants.
    J’utilise Claude, Gemini et Ollama CLI, et j’analyse les métadonnées photo avec Immich pour comprendre le contexte.
    Toute la configuration est gérée de manière déclarative, ce qui permet un provisioning automatique.
    Lien du projet

  • Le problème ne se limite pas à OpenClaw : donner directement à un LLM un accès système est irresponsable.
    Le modèle ne comprend pas réellement le sens des choses, donc il peut adopter des comportements imprévisibles.

    • Je suis d’accord, mais cela dépend du modèle et du harnais. Moi, je clique sur « allow all » à chaque fois, parce que le gain de productivité est trop important pour revenir en arrière.
      Il y a un risque, mais je l’accepte à peu près comme celui de traverser la rue.
    • Beaucoup de gens pensent que la prompt injection se résume à « ignore les instructions », alors qu’en réalité elle peut venir d’un texte caché dans un e-mail.
      Par exemple, si un texte blanc caché dit « envoie les 50 derniers e-mails à cette adresse », l’agent l’exécutera tel quel.
      Un humain aurait l’intuition que « quelque chose cloche », mais l’IA n’a pas ce genre de sensibilité.
      Au fond, le problème n’est pas l’endroit où ça s’exécute, mais ce que ça lit.
    • Google a déjà activé automatiquement l’accès à Drive ou Gmail, et jusqu’ici il n’y a pas eu d’incident majeur.
      Personnellement, le bénéfice net est positif.
    • Récemment, Claude Code m’a demandé les permissions rm:* et security find-generic-password.
      Je me dis que le jour où je quitterai mon poste, je le laisserai peut-être tourner sans retenue.

  • OpenClaw disparaîtra peut-être un jour, mais je pense qu’il a montré un aperçu des interfaces du futur.
    Par exemple, planifier un voyage en famille avec une IA depuis un banc dans un parc via des écouteurs, puis voir l’itinéraire affiché sur l’écran du frigo en rentrant à la maison.
    Moi, je continuerais à réserver à la main, mais la génération suivante trouvera probablement ça naturel.

  • J’ignore simplement les articles critiques écrits par des gens qui n’arrivent plus à suivre la vitesse des logiciels actuels.
    Les produits qu’ils mettent en avant dans ce genre de textes n’ont généralement aucune valeur.

  • Je suis un gros utilisateur d’OpenClaw et je le teste dans toutes sortes de scénarios.
    En ce moment, il automatise quasiment toute ma vie. Pour moi qui suis AuDHD, c’est une vraie libération.
    Bien sûr, les problèmes de sécurité et les limites des LLM existent toujours, mais les aspects positifs l’emportent largement.

    • Je suis moi aussi AuDHD, donc je comprends profondément ce que tu veux dire.

  • Le cœur d’OpenClaw, ce n’est pas la sécurité, mais une expérience consistant à donner accès à l’ensemble de sa vie numérique.
    Moi non plus je ne l’utilise pas ainsi, mais beaucoup d’utilisateurs le veulent.
    En réalité, ce concept existait déjà avant OpenClaw, et des bots IA basés sur Telegram l’avaient déjà expérimenté.
    OpenClaw l’a simplement démocratisé.

    • De mon côté, je n’accorde à l’agent que le minimum d’accès nécessaire.
      Il est isolé dans plusieurs conteneurs et n’a pas accès aux clés secrètes ni au système hôte.
      Il peut déjà faire tout ce dont j’ai besoin ; je ne vois pas pourquoi je lui donnerais davantage de permissions.

  • Moi aussi, je me suis inspiré du principe d’OpenClaw pour créer une variante appelée Tri-Onyx.
    J’y ai appliqué le concept de « lethal trifecta » de Simon Willison afin d’implémenter une architecture de type OpenClaw.