SFEIR

Comparatif entreprise : Hermès Agent vs OpenClaw (sécurité, gouvernance, maintenabilité, réversibilité)

SFEIR
Comparatif entreprise : Hermès Agent vs OpenClaw (sécurité, gouvernance, maintenabilité, réversibilité)

Pour un décideur, la comparaison pertinente tient à quatre critères d'entreprise : sécurité par défaut, gouvernance, maintenabilité et réversibilité. Verdict synthétique : Hermès Agent offre la meilleure posture de sécurité par défaut et une gouvernance mieux documentée ; OpenClaw dispose d'un écosystème plus riche, au prix d'une dette de sécurité lourde. Un chemin de migration natif existe des deux côtés.

Hermès Agent ou OpenClaw : lequel choisir pour l'entreprise ?

CritèreHermès Agent (Nous Research)OpenClaw
Licence / modèleMIT, self-hosted, model-agnosticMIT, self-hosted, model-agnostic
Modèle de sécuritéOS = seul périmètre (documenté et assumé) ; expose et configure les couches au-dessusOS = périmètre aussi, mais couches « scoped out » ; défaut permissif
IdentitéPlatform identity (Telegram/Discord), allowlists, pairing codes expirant en 1 h et rate-limités, tiers admin/regularGateway password partagé ; callers autorisés = confiance égale
RBAC intra-agentNon (multi-tenant à l'OS)Non (multi-tenant à l'OS)
Écosystème skills~118 skills built-in ; auto-génération ; agentskills.io5 700+ skills communautaires (ClawHub) — richesse mais supply chain risquée
Dette de sécuritéFaible ; politique de sécurité claire512 vulnérabilités, 138 CVE, CVE-2026-25253, ClawHavoc, instances exposées
GouvernanceLearning loop à auditer (boîte noire des skills) ; Skills Guardopenclaw security --audit ; SecureClaw/ClawBands/APort à ajouter
MaintenabilitéReleases fréquentes et documentées (v0.18.0 au 1er juil. 2026) ; hermes updateRenommages multiples (Clawdbot→Moltbot→OpenClaw) ; passage sous fondation post-OpenAI
RéversibilitéMigration bidirectionnelle nativeMigration bidirectionnelle native

Quel projet a la meilleure posture de sécurité par défaut ?

Le verdict de XDA Developers est net : Hermès « ships the controls for the deployment OpenClaw refuses to defend ». Concrètement : identité via plateforme plutôt que mot de passe de gateway partagé, allowlists et pairing codes expirant en 1 h, tier admin vs regular restreignant les slash commands par rôle. La nuance honnête : ni l'un ni l'autre n'a de RBAC intra-agent. Les utilisateurs autorisés partagent un conteneur et accèdent aux mêmes services connectés, l'isolation multi-utilisateurs doit se faire au niveau OS/hôte. Comme le résume l'article : « The OS is still the boundary in both projects. Hermes documents and configures the layers above it; OpenClaw scopes them out. »

Comment migrer d'OpenClaw vers Hermès ? (chemin natif hermes claw migrate)

Hermès fournit une commande de migration native et mature (first-class depuis v0.14.0, complète depuis v0.3.0+) :

hermes claw migrate            # migration interactive (preset full, preview d'abord)
hermes claw migrate --dry-run  # aperçu sans modification
hermes claw migrate --preset user-data   # mémoire + skills, sans secrets
hermes claw migrate --preset full --migrate-secrets --yes

Caractéristiques clés pour un DSI :

  • Non-destructif : lit ~/.openclaw (puis ~/.clawdbot, ~/.moltbot) mais ne le modifie jamais ; backup automatique dans ~/.hermes/migration/openclaw/<timestamp>/.
  • Migre : SOUL.md, mémoire, skills (converties au format agentskills.io, rangées dans skills/openclaw-imports/), config (modèles, canaux, outils), et optionnellement les secrets.
  • Le wizard hermes setup détecte ~/.openclaw et propose la migration.
  • Les skills ClawHub communautaires nécessitent un remplacement manuel par des équivalents Hermès.

La migration inverse existe aussi (openclaw migrate hermes --dry-run / openclaw migrate apply hermes), ce qui garantit la réversibilité bidirectionnelle.

Réversibilité et absence de lock-in

Les deux projets sont MIT et self-hostables, model-agnostic (pas de lock-in fournisseur de modèle : hermes model ou config OpenClaw), et partagent le standard agentskills.io pour les skills. C'est un argument décisif pour une DSI : le choix Hermès ↔ OpenClaw reste réversible, ce qui autorise une stratégie d'expérimentation prudente, dans une logique de design to exit.

FAQ

Peut-on faire tourner les deux en parallèle ? Brièvement oui (runtimes et ports différents, routage de canaux distincts), mais ils partagent des hypothèses sur HOME et ne doivent pas posséder la même mémoire simultanément. Le bridge communautaire HermesClaw gère la coexistence sur un même compte WeChat.

Hermès est-il « le successeur » d'OpenClaw ? Non : ce sont deux projets distincts d'éditeurs différents (Nous Research vs fondation OpenClaw). Hermès offre un chemin de migration natif et une lignée de skills compatible.

Lequel pour un déploiement souverain local ? Les deux tournent en local ; NVIDIA fournit des playbooks pour Hermès (DGX Spark) et pour OpenClaw (NemoClaw). Voir Souveraineté et Déploiements durcis.


Sources

SFEIR Auteur

Articles similaires

Agents IA autonomes open source en entreprise : le guide du décideur (adoption, risques, gouvernance, TCO)

Agents IA autonomes open source en entreprise : le guide du décideur (adoption, risques, gouvernance, TCO)

Hermès Agent et OpenClaw tournent déjà dans votre SI, souvent installés sans validation de la DSI. Adoption, sécurité, gouvernance RGPD et EU AI Act, TCO : le guide du décideur pour gouverner les agents IA autonomes open source sans freiner l'innovation.

Déployer Hermès Agent en environnement maîtrisé : backends sandboxés et persistance serverless

Déployer Hermès Agent en environnement maîtrisé : backends sandboxés et persistance serverless

Hermès Agent propose six backends d'exécution (local, Docker, SSH, Singularity, Modal, Daytona) qui déterminent où les commandes s'exécutent, et donc le rayon d'explosion en cas de dérapage. Le backend par défaut n'isole rien : comment choisir et durcir chaque backend pour la production.

Gouverner les skills auto-générées d'Hermès : qui audite ce que l'agent apprend ?

Gouverner les skills auto-générées d'Hermès : qui audite ce que l'agent apprend ?

La boucle d'apprentissage d'Hermès Agent crée et affine ses propres skills. Les fichiers sont lisibles, mais la décision de l'agent de conserver tel pattern n'a aucune interface d'explicabilité. Comment auditer ce que votre agent apprend ?

Sécurité OpenClaw : surface d'attaque, sandboxing et outils d'audit communautaires

Sécurité OpenClaw : surface d'attaque, sandboxing et outils d'audit communautaires

OpenClaw combine une puissance opérationnelle exceptionnelle et une surface d'attaque considérable. Risques documentés (CVE, instances exposées, ClawHavoc), outils d'audit communautaires (SecureClaw, ClawBands, APort) et procédure de durcissement pour la DSI.