Un simple onglet de navigateur. C’est tout ce qu’il fallait pour prendre le contrôle total d’OpenClaw, la plateforme d’agents IA qui a dépassé les 100 000 étoiles sur GitHub en cinq jours. La faille, baptisée « ClawJacked » par les chercheurs d’Oasis Security, a été corrigée en 24 heures, mais elle soulève une question que l’industrie préfère esquiver : que se passe-t-il quand un agent IA autonome devient la cible ?
Le scénario d’attaque tient en quatre étapes
OpenClaw fonctionne avec un gateway, un serveur WebSocket local qui orchestre toutes les opérations de l’agent : envoi de messages, exécution de commandes système, gestion de fichiers, accès aux appareils connectés. Ce gateway écoute sur localhost, le port local de la machine, et se protège par un simple mot de passe.
Le problème : les politiques de sécurité des navigateurs (CORS) ne bloquent pas les connexions WebSocket vers localhost. Un développeur visite un site piégé, et le JavaScript de la page ouvre discrètement une connexion vers le gateway OpenClaw. L’attaque se déroule sans clic, sans plugin, sans interaction.
Pire : le système de limitation de tentatives (rate limiting) d’OpenClaw exemptait les connexions locales. Résultat : des centaines de tentatives de mot de passe par seconde, sans journalisation, sans alerte. « Un mot de passe choisi par un humain n’avait aucune chance », résument les chercheurs d’Oasis Security dans leur rapport technique. Une liste de mots de passe courants s’épuise en moins d’une seconde. Un dictionnaire complet, en quelques minutes.
Une fois le mot de passe trouvé, l’attaquant s’enregistre comme appareil de confiance. Le gateway approuve automatiquement les appairages depuis localhost. À partir de là, l’intrus a accès à tout : historiques de conversations, fichiers sur les appareils connectés, exécution de commandes shell sur n’importe quel nœud apparié.
À lire aussi
Un écosystème déjà fragilisé par les malwares
ClawJacked n’est pas un incident isolé. Plus tôt en février, le chercheur en sécurité @chiefofautism avait identifié 1 184 skills malveillants sur ClawHub, la place de marché communautaire d’OpenClaw, selon CyberSecurityNews. Un seul attaquant en avait publié 677. Ces faux plugins, déguisés en bots de trading crypto ou en outils de productivité, déployaient Atomic Stealer sur macOS : mots de passe du navigateur, clés SSH, sessions Telegram, portefeuilles crypto, tout y passait.
Le skill le plus téléchargé de la plateforme, « What Would Elon Do? », s’est avéré être un malware. L’équipe AI Defense de Cisco y avait trouvé 9 vulnérabilités, dont 2 critiques. Le skill exfiltrait les données utilisateur vers un serveur externe tout en redirigeant sa sortie vers /dev/null pour passer inaperçu.
La différence avec ClawJacked : ces attaques par la supply chain ciblaient les extensions communautaires. La faille découverte par Oasis Security touche le cœur du système, le gateway lui-même, sans aucun plugin installé.
Corrigé en 24 heures, mais le vrai problème reste entier
L’équipe d’OpenClaw a classé la vulnérabilité comme « haute sévérité » et livré un correctif dans la version 2026.2.26 en moins d’une journée, selon BleepingComputer. Le patch renforce les contrôles de sécurité WebSocket et ajoute des protections contre les abus de connexions localhost.
La réactivité est réelle. Mais le fond du problème dépasse un simple correctif. Les agents IA comme OpenClaw tournent sur les machines des développeurs avec des accès étendus : messageries, calendriers, outils de développement, terminaux. Sam Altman, PDG d’OpenAI, avait recruté le créateur d’OpenClaw en février en le qualifiant de « génie avec beaucoup d’idées sur le futur des agents très intelligents ». Cette puissance fait aussi la surface d’attaque.
Pour beaucoup d’organisations, ces installations représentent ce qu’Oasis Security appelle du « shadow AI » : des outils adoptés par les développeurs en dehors de la supervision informatique, avec un accès large aux systèmes locaux et aux identifiants, et sans gouvernance centralisée.
Le maillon faible des agents autonomes
La faille ClawJacked rappelle un débat plus large sur la sécurité des agents IA autonomes. Contrairement à un chatbot confiné dans une fenêtre de navigateur, un agent comme OpenClaw agit : il envoie des messages, modifie des fichiers, exécute du code. Quand cet agent est compromis, ce n’est pas une conversation qui fuit, c’est une machine entière.
Koi Security avait audité 2 857 skills ClawHub avant la découverte de @chiefofautism et trouvé 341 entrées malveillantes, soit près de 12 % du catalogue. Ce chiffre suggère que la sécurité des places de marché d’agents IA n’a pas suivi la croissance explosive de l’écosystème.
OpenClaw recommande à tous ses utilisateurs de mettre à jour vers la version 2026.2.26 ou ultérieure. Mais le rapport d’Oasis Security pointe une réalité plus inconfortable : le pipeline d’attaque se compose d’étapes qui, prises individuellement, ressemblent à des usages légitimes (résumer, chercher, trier). Les distinguer d’un usage normal relève du défi technique. Le prochain salon RSA Conference, prévu à San Francisco fin avril, devrait consacrer plusieurs sessions à la sécurité des agents IA, un thème qui n’existait pas dans le programme il y a encore un an.
