OpenClaw ressemble à un rêve, mais se rapproche d’un cauchemar de sécurité pour les agents autonomes

 (composio.dev)
3 points par GN⁺ 2026-03-23 | Aucun commentaire pour le moment. | Partager sur WhatsApp
  • OpenClaw, l’agent autonome de nouvelle génération basé sur Opus, intègre diverses applications comme l’e-mail, le calendrier et la domotique pour fonctionner comme un assistant personnel
  • Cependant, de nombreuses vulnérabilités ont été découvertes, notamment l’absence de validation des skills SkillHub, l’exposition de jetons et la contamination de la mémoire, ce qui entraîne de graves risques de sécurité
  • Plus de 30 000 instances ont été exposées sans authentification, et des possibilités de prompt injection ainsi que d’attaques de la chaîne d’approvisionnement ont également été confirmées
  • Palo Alto Networks a inclus les problèmes structurels d’OpenClaw dans les 10 principaux risques OWASP liés aux agents
  • En réponse, TrustClaw est présenté comme une alternative centrée sur la sécurité, avec OAuth géré, sandbox distant et contrôle du moindre privilège

OpenClaw : entre idéal et cauchemar

  • Depuis AutoGPT et BabyAGI en 2023, OpenClaw attire l’attention comme agent autonome de nouvelle génération basé sur Opus
    • Il peut contrôler les fichiers locaux, le terminal, le navigateur, Gmail, Slack et même des systèmes domotiques
    • L’acquisition de son fondateur, Peter Steinberger, par OpenAI a également fait parler d’elle
  • Derrière ses capacités impressionnantes se cachent de graves vulnérabilités de sécurité
    • Malgré ses hautes performances, son architecture de sécurité est jugée fragile

OpenClaw : la promesse d’une automatisation de rêve

  • OpenClaw est un agent de type assistant personnel qui automatise des tâches du quotidien comme le tri des e-mails, la planification de réunions ou la lecture de musique
    • Il fonctionne via Telegram, sur la base du modèle Claude Opus 4.5 d’Anthropic
    • Il peut intégrer diverses applications comme Notion, Todoist, Spotify, Sonos et Gmail
  • Plus son utilisation augmente, plus l’apprentissage de schémas et l’automatisation des workflows se renforcent, ce qui lui permet d’adopter des comportements de plus en plus personnalisés
    • Exemple : lors d’une réservation de restaurant, il peut reconnaître les frais d’annulation et les refléter dans le calendrier
  • Mais des comportements inattendus ont aussi été observés en usage réel
    • Par exemple, il a mal interprété une conversation Slack et s’est automatiquement mis en statut de congé

  • Le pacte faustien entre sécurité et vie privée

    • OpenClaw accède à des données sensibles comme les messages, les codes 2FA, les comptes bancaires, le calendrier et les contacts
    • À la place d’un assistant humain, l’utilisateur doit accepter de nouveaux risques comme la prompt injection, les hallucinations du modèle ou les erreurs de configuration
    • Un humain peut être tenu juridiquement responsable, un agent non

  • Faut-il l’utiliser ?

    • OpenClaw a tendance à exécuter rapidement des actions en ignorant les garde-fous existants
    • Il nécessite des permissions d’accès à des applications externes comme WhatsApp ou Telegram, ce qui peut être exploité comme vecteur d’attaque
    • L’écosystème technique n’étant pas encore mûr, il est recommandé aux utilisateurs ordinaires d’éviter son usage

OpenClaw : la réalité du cauchemar sécuritaire

  • Vulnérabilités des skills ClawdHub

    • OpenClaw télécharge et utilise des skills créés par les utilisateurs depuis SkillHub
    • En l’absence de procédure de vérification de sécurité, des skills malveillants ont été diffusés
    • Jason Melier de 1Password a découvert qu’un skill “Twitter” installait un malware voleur d’informations
    • Ce skill exécutait un payload en deux étapes via un lien, contournant les contrôles de sécurité de macOS
    • L’analyse VirusTotal a confirmé qu’il pouvait voler des informations sensibles comme les cookies et les clés SSH

  • Simulation d’attaque de la chaîne d’approvisionnement

    • Jamieson O’Reilly a créé un faux skill intitulé “What would Elon Do” et a manipulé son nombre de téléchargements
    • Des développeurs de 7 pays l’ont exécuté, confirmant l’exécution de commandes à distance
    • Aucune donnée réelle n’a été collectée, mais la même méthode pourrait servir à une attaque réelle
    • Selon l’analyse de Snyk, 283 skills sur 3 984 (7,1 %) présentaient une vulnérabilité d’exposition d’identifiants en clair
    • Un scan des skills a ensuite été introduit en partenariat avec VirusTotal

  • Menace persistante de prompt injection

    • OpenClaw remplit les trois conditions de la “trinité fatale” de Simon Willison
      • accès aux données personnelles
      • exposition à des contenus non fiables
      • capacité de communication externe
    • Un attaquant peut manipuler l’agent à partir du simple texte d’un message, d’un e-mail ou d’un site web
    • Gary Marcus a dénoncé une architecture qui contourne les protections du système d’exploitation, en soulignant que les politiques d’isolation applicative ne s’appliquent pas
    • Sur Moltbook, une plateforme proche de Reddit, des activités de pump and dump crypto entre agents ont été observées

  • Risques liés aux services intégrés

    • OpenClaw propose plus de 50 intégrations comme Slack, Gmail, Teams et Trello
    • Plus les intégrations se multiplient, plus la surface d’attaque s’élargit, exposant tous les services connectés en cas de compromission

  • Abus d’authentification et permissions de jetons excessives

    • Les jetons OAuth et les clés API sont stockés dans un fichier local (auth-profiles.json)
    • Une authentification faible ou une passerelle exposée crée un risque de vol de jetons
    • Avec ces jetons volés, un attaquant peut usurper complètement l’utilisateur sur Slack, Gmail, etc.

  • Problèmes de structure mémoire

    • La mémoire d’OpenClaw n’est qu’un simple ensemble de fichiers Markdown
    • Même si un agent infecté la manipule, cela reste indétectable
    • Une contamination de la mémoire peut infecter toute l’instance sur le long terme

  • Plus de 30 000 instances exposées

    • Au début du déploiement, un grand nombre d’instances installées sans prise en compte de la sécurité ont été exposées
    • Une vulnérabilité approuvant automatiquement le trafic localhost permettait un accès sans authentification
    • Censys a détecté 21 000 instances publiquement exposées, BitSight plus de 30 000
    • Des correctifs ont ensuite été déployés, mais l’ampleur des dégâts était déjà considérable

  • Analyse au regard de l’OWASP Top 10

    • Palo Alto Networks a cartographié les vulnérabilités d’OpenClaw sur les 10 principaux risques OWASP liés aux agents
    • Principaux points : prompt injection, autonomie excessive, contamination de la mémoire, absence de sécurité des intégrations, échec de séparation des privilèges, absence de supervision à l’exécution, etc.

Renforcement de la sécurité d’OpenClaw et alternatives

  • Environnement conteneurisé isolé

    • Exécution recommandée sur un équipement séparé (conteneur Docker), et non sur l’ordinateur principal
    • Éviter de monter tout le répertoire personnel et exécuter avec un utilisateur non administrateur
    • Ne pas monter le socket Docker et activer un profil seccomp pour limiter les appels système

  • En cas de déploiement sur un VPS cloud

    • Lier la passerelle à 127.0.0.1 et n’autoriser l’accès que via VPN ou tunnel privé
    • Restreindre l’accès SSH par pare-feu et utiliser Docker en mode rootless
    • Prévoir un plan de rotation des jetons et minimiser le paramètre trusted-proxy

  • Utiliser des comptes séparés

    • Créer des comptes Gmail, calendrier et 1Password dédiés à OpenClaw
    • Traiter l’agent comme une identité numérique distincte afin de maintenir une séparation des données

  • Gestion sécurisée des intégrations

    • Via Composio, utiliser une couche d’authentification gérée sans stocker directement les jetons OAuth
    • Contrôler centralement les permissions par application et définir des scopes d’accès granulaires
    • Gérer automatiquement le cycle de vie des identifiants (connexion, renouvellement, rotation)

  • Principe du moindre privilège

    • Recommandation d’une architecture multi-agents séparant les droits en lecture seule et en écriture
    • Limiter les droits d’écriture dans le temps et réduire leur portée à l’échelle de la ressource
    • Pour les actions destructrices comme supprimer, partager ou transférer, une validation humaine est indispensable
    • Effectuer régulièrement des audits de permissions dans le tableau de bord Composio

  • Visibilité sur l’exécution des outils

    • Composio suit tout l’historique d’exécution des intégrations applicatives de l’agent
    • Cela facilite l’identification des causes et la restauration en cas de problème

TrustClaw : une alternative pensée pour la sécurité

  • TrustClaw a été développé pour répondre aux problèmes de sécurité d’OpenClaw
    • Grâce à un OAuth géré, les jetons ne sont pas stockés sur disque
    • Un contrôle d’accès basé sur les scopes n’accorde que les privilèges minimaux nécessaires
    • Une exécution de code en sandbox distant empêche d’endommager le système local
    • Il offre une configuration en un clic, une exploitation des agents 24/7 et une visibilité complète de l’exécution

Conclusion

  • TrustClaw propose un assistant IA totalement isolé intégrant de manière sécurisée e-mail, calendrier et coffre d’identifiants
  • Il ne peut accéder qu’aux documents et dossiers partagés ; toutes les autres données sont bloquées
  • L’IA reste à un stade encore immature et doit être utilisée avec des garde-fous et une conception de reprise
  • Derrière le confort de l’automatisation, il faut toujours maintenir un équilibre entre sécurité et confiance

À lire aussi

Aucun commentaire pour le moment.

Aucun commentaire pour le moment.