La plateforme d’agents IA OpenClaw fait face à une nouvelle crise de sécurité après la découverte de failles béantes à l’origine de fuites d’informations hautement sensibles.
C’est un véritable festival de vulnérabilités qui frappe OpenClaw en ce début février 2026. L’ex‑Clawdbot, rebaptisé ensuite Moltbot avant de devenir OpenClaw, déjà surnommé par certains experts le « cauchemar de la sécurité », est de nouveau sous le feu des critiques. Des chercheurs ont révélé que la plateforme d’agents en open source permet non seulement le vol de données bancaires, mais facilite aussi l’installation de « backdoors » sur les machines des utilisateurs via de simples injections de prompts.
ClawHub : un supermarché pour cybercriminels
Le marketplace officiel, ClawHub, semble être le maillon faible de cet écosystème. Selon une analyse publiée par les ingénieurs de Snyk, le constat est alarmant. En effet, sur les près de 4 000 « skills » (compétences) que compte le registre, 283 d’entre elles, soit environ 7,1 % de la plateforme, contiennent des failles exposant des identifiants sensibles.
Le problème vient de la manière dont les développeurs conçoivent les fichiers d’instructions (SKILL.md). Certaines skills pourtant fonctionnelles et largement utilisées, comme moltyverse-email ou youtube-data, forcent littéralement les agents IA à manipuler des secrets de manière non sécurisée.
Résultat : des mots de passe, des clés API et même d’autres données sensibles transitent en clair dans la fenêtre de contexte du modèle de langage (LLM). Certains finissent dans les journaux d’application (logs).
Le cas le plus critique identifié par Snyk concerne la skill buy-anything (v2.0.0). Cette dernière demande explicitement à l’agent de collecter les détails de carte de crédit de l’utilisateur pour effectuer des achats.
En tokenisant ces informations financières, l’agent les envoie directement au fournisseur de modèle (OpenAI, Anthropic). Un attaquant n’a alors qu’à demander à l’agent de « vérifier ses logs » pour récupérer les coordonnées bancaires complètes.
Des machines contrôlées via Google Doc et Slack
En parallèle, la firme de sécurité Zenity a démontré mercredi une preuve de concept (PoC) particulièrement inquiétante. Grâce à une injection de prompt indirecte, un pirate peut prendre le contrôle total d’une instance OpenClaw.
L’attaque peut débuter par un simple document Google Doc piégé. Si OpenClaw a accès à l’environnement de travail de l’utilisateur (Google Workspace, Slack), il lit le document. Puis, il exécute les instructions malveillantes qu’il contient. Dans l’exemple de Zenity, le payload ordonne à l’IA de créer une nouvelle intégration avec un bot Telegram contrôlé par l’attaquant.
Une fois ce canal établi, le pirate peut ordonner à OpenClaw de lire tous les fichiers du bureau, d’exfiltrer leur contenu vers un serveur externe, puis de supprimer les originaux. Plus grave encore, l’agent peut être utilisé pour télécharger et exécuter un balisage de commande et contrôle (C2) de type Sliver. Ce qui offre un accès à distance permanent au système, sans même avoir besoin de passer par l’IA par la suite.
Une accumulation de failles sans réponse
Cette nouvelle salve de révélations s’inscrit dans la continuité d’un rapport distinct publié par Snyk la veille. Ce rapport avait déjà mis en évidence 76 charges utiles malveillantes disséminées dans l’écosystème OpenClaw. Ces charges étaient spécifiquement conçues pour le vol d’identifiants, l’exfiltration de données et l’installation de portes dérobées.
Malgré l’urgence de la situation et le flux quasi quotidien de vulnérabilités signalées, les responsables du projet restent silencieux. Contactés par The Register, OpenClaw et son développeur principal, Peter Steinberger, n’ont pour l’instant fait aucun commentaire sur ces découvertes. En attendant, la plateforme continue d’être décrite par les chasseurs de menaces comme un véritable « incendie de benne à ordures » technologique.
Restez à la pointe de l'information avec INTELLIGENCE-ARTIFICIELLE.COM !
- Partager l'article :
