En bref : OpenClaw (anciennement Clawdbot/Moltbot) est un framework open source d'IA agentique qui compte plus de 247 000 étoiles sur GitHub et présente des failles de sécurité avérées. La vulnérabilité CVE-2026-25253 (CVSS 8,8) a révélé une chaîne d'exécution de code à distance en un seul clic. Snyk a constaté que 36 % des compétences ClawHub contiennent des injections de prompt. SecurityScorecard a identifié plus de 135 000 instances exposées à l'Internet public. Microsoft, Cisco, CrowdStrike, Kaspersky, Sophos et Trend Micro ont tous publié des avis de sécurité. La Chine l'a interdit dans les agences d'État. Si ton organisation envisage d'adopter l'IA agentique, tu dois d'abord comprendre ces risques.
C'est quoi, OpenClaw ?
OpenClaw est un framework d'agents IA gratuit et open source créé par le développeur autrichien Peter Steinberger. Il fonctionne localement sur l'ordinateur de l'utilisateur et se connecte à des modèles de langage de grande envergure (LLM) comme Claude, GPT ou DeepSeek via des plateformes de messagerie : WhatsApp, Telegram, Slack, Discord et d'autres.
L'intérêt est évident. Tu demandes à OpenClaw de mettre de l'ordre dans ta boîte de réception, de réserver des vols, de gérer tes agendas ou d'exécuter des commandes dans le terminal, et il s'en charge. Steinberger le décrit comme une IA qui « fait vraiment des choses ». L'agent décompose les tâches en étapes, choisit les bons outils et les exécute avec un minimum de supervision.
C'est aussi pour ça que c'est dangereux en entreprise. OpenClaw stocke localement les données de configuration et l'historique des interactions, conserve la mémoire entre les sessions et peut accéder aux comptes de messagerie, aux calendriers, aux plateformes de messagerie et aux systèmes de fichiers locaux. Lorsqu'il est mal configuré (ce qui était le cas par défaut jusqu'en janvier 2026), il crée un environnement d'exécution privilégié que les équipes de sécurité ne peuvent ni voir ni contrôler.
Les problèmes de sécurité : une chronologie
Les failles de sécurité d'OpenClaw ne sont pas seulement théoriques. Elles ont été signalées par presque tous les grands fournisseurs de solutions de cybersécurité au cours des six dernières semaines.
CVE-2026-25253 : Exécution de code à distance en un clic (CVSS 8,8)
Découverte par le chercheur Mav Levin et corrigée le 30 janvier 2026, cette faille exploitait une erreur de conception dans la gestion par l'interface utilisateur de contrôle de la gatewayUrl paramètre de requête. Comme Détails de l'analyse de Kaspersky, l'interface utilisateur a accepté ce paramètre sans le valider et a automatiquement établi une connexion WebSocket, transmettant le jeton d'authentification de l'utilisateur lors de la négociation de connexion.
La chaîne d'attaque s'est déroulée en quelques millisecondes : exfiltration du jeton, puis compromission totale de la passerelle. Un attaquant pouvait exécuter des commandes arbitraires sur la machine de la victime. Même les instances limitées à localhost étaient vulnérables.
ClawHub : empoisonnement de la chaîne de compétences
L'analyse de sécurité menée par Conscia a permis de détecter 341 scripts malveillants sur ClawHub quelques semaines après la propagation virale d'OpenClaw (soit 12 % du registre à l'époque), qui diffusaient principalement le malware Atomic macOS Stealer. Des analyses plus récentes ont révélé que ce nombre était passé à plus de 800 scripts malveillants, soit environ 20 % de l'ensemble des soumissions.
Les compétences dans OpenClaw ne sont pas des scripts isolés. Ce sont des paquets de code exécutables qui fonctionnent avec les mêmes privilèges que l'agent lui-même. Une compétence malveillante est même apparue sur la page d'accueil de ClawHub avant d'être supprimée.
Audit Snyk ToxicSkills
L'audit de ClawHub réalisé par Snyk a révélé que 36 % de toutes les compétences contiennent une injection de prompt détectable. Parmi les échantillons malveillants confirmés, 91 % combinent l'injection de prompt avec des techniques de logiciels malveillants traditionnelles, contournant ainsi à la fois les mécanismes de sécurité de l'IA et la sécurité classique des terminaux.
2,9 % des compétences récupèrent et exécutent dynamiquement du contenu provenant de points de terminaison externes lors de l'exécution. La compétence publiée semble inoffensive lors de l'examen, mais les pirates peuvent modifier son comportement à tout moment en mettant à jour le contenu hébergé.
Plus de 135 000 cas recensés
L'équipe STRIKE de SecurityScorecard a identifié plus de 135 000 instances d'OpenClaw exposées sur l'Internet public dans 82 pays. Beaucoup fonctionnaient sans authentification, ce qui correspondait à la configuration par défaut avant la version 2026.1.29.
L'interdiction du gouvernement chinois
En mars 2026, les autorités chinoises ont interdit aux entreprises publiques et aux organismes gouvernementaux d'utiliser OpenClaw sur leurs ordinateurs de bureau. Le CNCERT a publié un avertissement officiel concernant les failles de sécurité inhérentes aux paramètres par défaut de la plateforme et les risques d'injection de commandes.
Le trio mortel : pourquoi les agents IA présentent un risque inhérent
Le chercheur en sécurité Simon Willison a inventé le terme « trifecta mortelle » pour décrire la combinaison qui rend l'IA agentique dangereuse. OpenClaw coche les trois cases :
- Accès aux données privées : OpenClaw lit les fichiers, les e-mails, les calendriers et les identifiants sur la machine hôte.
- Exposition à du contenu non fiable : l'agent reçoit des messages via des applications de messagerie instantanée, navigue sur des pages Web et traite des données externes de manière autonome.
- Droits d'accès : OpenClaw peut envoyer des e-mails, effectuer API , exécuter des commandes shell et modifier des fichiers.
Le responsable de la sécurité informatique de Sophos l'a dit sans détour : une attaque par injection rapide pourrait se résumer à envoyer un message à un compte de messagerie contrôlé par un agent pour lui demander de répondre en indiquant le contenu de ton gestionnaire de mots de passe. Quiconque peut envoyer un message à l'agent obtient en fait les mêmes autorisations que celles dont dispose l'agent.
blog de sécurité de Microsoft a été encore plus direct : OpenClaw doit être considéré comme « une exécution de code non fiable avec des identifiants persistants ».
Le problème de l'IA fantôme
Le vrai risque pour l'entreprise, ce n'est pas qu'un employé installe officiellement OpenClaw. C'est plutôt que des employés l'installent sur leurs propres ordinateurs à l'insu du service informatique.
Les données télémétriques de Bitdefender confirment que c'est déjà le cas : les employés déploient OpenClaw sur les appareils de l'entreprise à l'aide de commandes d'installation d'une seule ligne, sans contrôle de sécurité et sans que le SOC n'en ait connaissance. Trend Micro souligne que de nombreuses organisations utilisent OpenClaw sans l'accord du service informatique, et que le premier défi pour les équipes de sécurité consiste simplement à savoir ce qui est installé.
CyberArk présente cela comme une nouvelle surface d'attaque en matière de sécurité des identités. Un développeur qui accède à son environnement OpenClaw depuis un ordinateur de l'entreprise, ou qui le déploie au sein du réseau de l'entreprise pour l'intégrer à Slack ou à Salesforce, crée une passerelle par laquelle des agents autonomes opèrent en dehors des contrôles traditionnels de gestion des identités et des accès.
Kaspersky est même allé jusqu'à qualifier OpenClaw de « plus grande menace interne de 2026 ».
Est-ce qu'OpenClaw peut être sécurisé pour une utilisation en entreprise ?
OpenClaw a publié d'importantes mises à jour de sécurité depuis les premières révélations. La version 2026.2.12 a corrigé plus de 40 vulnérabilités. La version 2026.2.23 a ajouté des en-têtes de sécurité HTTP, renforcé la gestion des sessions et basculé par défaut la politique SSRF du navigateur en mode « réseau de confiance ».
Mais le problème d'architecture fondamental demeure. OpenClaw est conçu comme un outil personnel avec une seule limite d'opérateur de confiance. Son propre développeur a lancé cette mise en garde sur Discord : « Si tu ne sais pas comment utiliser la ligne de commande, ce projet est bien trop dangereux pour que tu puisses l'utiliser en toute sécurité. »
L'analyse de Sophos conclut : OpenClaw doit être considéré comme un projet de recherche intéressant qui ne peut être exécuté « en toute sécurité » que dans un bac à sable jetable, sans accès aux données sensibles. Même les organisations possédant une grande expertise en matière d'IA et de sécurité auront du mal à configurer OpenClaw de manière à limiter les risques de compromission tout en conservant son intérêt en termes de productivité.
Ce que les entreprises devraient faire à la place
La demande qui sous-tend OpenClaw est bien réelle. Les entreprises veulent des agents IA capables d'exécuter des tâches, d'accéder aux données de l'entreprise et d'intervenir sur tous les canaux de communication. L'erreur, c'est d'essayer d'obtenir ces fonctionnalités avec un outil conçu pour les développeurs individuels.
Les plateformes d'IA agentique destinées aux entreprises résolvent ce problème grâce à des garde-fous intégrés dès le départ. Voici les éléments à prendre en compte :
- Gouvernance centralisée : des contrôles d'accès basés sur les rôles, des pistes d'audit et des tableaux de bord d'administration qui permettent au service informatique de voir exactement ce que font les agents.
- Isolation des données : les données de l'entreprise sont stockées sur une infrastructure que tu contrôles (de préférence sur des serveurs hébergés dans l'UE et conformes au RGPD) et ne sont jamais utilisées pour l'entraînement des modèles.
- Certifications de sécurité : SOC 2, ISO 27001 et conformité à la loi européenne sur l'IA comme minimum requis.
- Accès à plusieurs modèles sans gestion API : accède à GPT, Claude, Gemini et d'autres modèles via une passerelle gérée, pour que ton équipe n'ait jamais à gérer API brutes.
- Création d'agents sans code : les équipes non techniques devraient pouvoir créer et déployer des agents sans avoir besoin d'accéder à la ligne de commande.
- Contrôles des connecteurs : autorisations détaillées sur ce que les agents peuvent lire, écrire ou mettre à jour dans les CRM, les CMS, Slack, Teams et d'autres systèmes tiers.
TextCortex: une infrastructure d'IA sécurisée pour les entreprises
TextCortex a été conçu exactement pour ce genre de situation. C'est une plateforme d'infrastructure d'IA d'entreprise basée dans l'UE où les organisations déploient et gèrent des agents IA sur leurs propres données. La plateforme se connecte à des systèmes tiers comme les CRM et les CMS, et se déploie sur des applications de travail comme Slack et Microsoft Teams. Les autorisations de chaque agent sont entièrement contrôlées par les administrateurs : ce à quoi il peut accéder, ce qu'il peut écrire ou mettre à jour reste toujours entre les mains de l'utilisateur.
Certifications de sécurité : ISO 27001, SOC 2 Type II, conforme au RGPD, conforme à la loi européenne sur l'IA. Toutes les données sont hébergées sur une infrastructure située dans l'UE. Aucune donnée n'est jamais utilisée pour l'entraînement des modèles. Documentation complète sur la sécurité disponible sur trust.textcortex.com.


MAHLE (fournisseur automobile du DAX 40) a déployé TextCortex atteint un taux d'adoption de 65 % en moins d'un mois, permettant un gain de temps de plus de 5 heures par semaine et par utilisateur, grâce à des agents fonctionnant sur des données SharePoint. b2venture (société de capital-risque, plus de 800 millions d'euros d'actifs sous gestion) a vu son utilisation de l'IA multipliée par 7 au sein de son équipe d'investissement, avec plus de 10 agents spécialisés.
Questions fréquemment posées
OpenClaw est-il sûr pour une utilisation en entreprise ?
D'après les évaluations de sécurité réalisées par Microsoft, Cisco, CrowdStrike, Kaspersky, Sophos et Trend Micro : non, pas sous sa forme actuelle. OpenClaw est conçu comme un outil personnel avec une seule zone d'opérateur de confiance. Microsoft recommande de le traiter comme une exécution de code non fiable, et Sophos précise qu'il ne devrait être exécuté que dans des bacs à sable jetables n'ayant aucun accès aux données sensibles.
C'est quoi, CVE-2026-25253 ?
Une vulnérabilité critique (CVSS 8,8) dans l'interface utilisateur de contrôle d'OpenClaw permettait l'exécution de code à distance en un seul clic. Cette faille permettait aux attaquants d'extraire des jetons d'authentification en créant une URL malveillante, puis de prendre le contrôle total de la passerelle. Elle a été corrigée dans la version 2026.1.29, le 30 janvier 2026.
C'est quoi, le « trio mortel » en matière de sécurité des agents IA ?
Un terme inventé par le chercheur en sécurité Simon Willison pour décrire les trois caractéristiques qui, combinées, rendent les agents d'IA dangereux : l'accès aux données privées, l'exposition à des contenus non fiables et le pouvoir d'agir au nom de l'utilisateur. OpenClaw présente ces trois caractéristiques.
Est-ce que je peux sécuriser OpenClaw pour une utilisation en entreprise ?
Tu peux renforcer sa sécurité en activant l'authentification, en limitant la portée du système de fichiers, en désactivant les autorisations trop larges sur les terminaux, en l'exécutant dans des machines virtuelles isolées et en contrôlant tous les services connectés. Mais le problème fondamental (l'injection de commandes contre des agents qui traitent du contenu non fiable) ne peut pas être résolu par un simple correctif. Il nécessite une gouvernance au niveau de la plateforme.
Quelle est une alternative plus sûre à OpenClaw pour les entreprises ?
Les plateformes d'agents IA d'entreprise comme TextCortex offrent les mêmes capacités d'agent (exécution de tâches, intégration d'une base de connaissances, déploiement multicanal) avec une gouvernance centralisée, une certification SOC 2 et ISO 27001, un hébergement dans l'UE conforme au RGPD et des contrôles administratifs sur les autorisations des agents.
Pourquoi la Chine a-t-elle interdit OpenClaw ?
En mars 2026, les autorités chinoises ont interdit aux organismes publics et aux entreprises publiques d'utiliser OpenClaw sur leurs ordinateurs de bureau. Le CNCERT a invoqué les configurations de sécurité par défaut insuffisantes de la plateforme ainsi que les risques liés à l'injection de commandes, susceptibles d'entraîner une exfiltration de données.
