SFEIR

Sécurité OpenClaw : surface d'attaque, sandboxing et outils d'audit communautaires

SFEIR
Sécurité OpenClaw : surface d'attaque, sandboxing et outils d'audit communautaires

OpenClaw combine une puissance opérationnelle exceptionnelle et une surface d'attaque considérable. Les incidents recensés depuis fin 2025 (CVE, instances exposées par dizaines de milliers, campagne de supply chain ClawHavoc) dessinent le périmètre de risque qu'une DSI doit cartographier avant d'autoriser l'outil. Trois familles d'outils d'audit communautaires (SecureClaw, ClawBands, APort) et une procédure de durcissement encadrent cet usage.

Quels risques de sécurité pose OpenClaw en entreprise ?

Les incidents documentés s'accumulent :

  • CVE-2026-25253 (CVSS 8.8, CWE-669) : RCE en un clic via détournement de WebSocket cross-site. Le Control UI accepte un paramètre gatewayUrl sans validation et se connecte automatiquement au chargement, transmettant le token d'authentification. Découverte par Mav Levin (DepthFirst), corrigée dans v2026.1.29. La « localhost fallacy » explique pourquoi lier l'agent à 127.0.0.1 ne protège pas : l'exploit pivote via le navigateur de la victime.
  • 512 vulnérabilités identifiées lors d'un audit (plateforme Argus, GitHub Issue #1796), dont 8 critiques ; 138 CVE en 5 mois selon un décompte agrégé. OAuth stocké en clair dans des fichiers JSON.
  • Instances exposées : 42 665 identifiées via l'outil ClawdHunter par le chercheur indépendant Maor Dayan (dont 5 194 vérifiées activement, 93,4 % en auth bypass) ; plus de 135 000 selon The Register/ARMO ; jusqu'à 258 305 début mars 2026 sur un watchboard public suivi en temps réel (Coral, « The OpenClaw Security Crisis of 2026 », 7 mars 2026).
  • ClawHavoc : campagne de supply chain ayant planté de 335 à 1 184 skills malveillantes sur ClawHub (jusqu'à ~20 % du registre à certaines dates), distribuant l'Atomic macOS Stealer (AMOS) (credentials, données navigateur, wallets crypto). Classée Trojan/OpenClaw.PolySkill par Antiy CERT.

Microsoft tranche : OpenClaw « should be treated as untrusted code execution with persistent credentials » et « is not appropriate to run on a standard personal or enterprise workstation ». Un déploiement non validé sur un poste métier bascule alors dans le shadow AI.

Quels outils d'audit communautaires existent ?

Outil Éditeur Mécanisme Couverture / points clés
SecureClaw Adversa AI (16 fév. 2026) Plugin + skill comportementale ; 55 contrôles d'audit et de durcissement OWASP ASI Top 10 : 10/10 ; MITRE ATLAS Agentic TTPs : 10/14 ; MITRE ATLAS OpenClaw : 14/17 ; CoSAI : 13/18 ; CSA Singapore : 8/11. Couvre CVE-2026-25253, IoC ClawHavoc, exposition type Moltbook, credential harvesting
ClawBands Sandro Munda (SeyZ) Middleware sur hook before_tool_call ; politique ALLOW / DENY / ASK ; défaut ASK pour outils inconnus Human-in-the-loop avant chaque action dangereuse ; audit trail JSON Lines append-only ; approbation via terminal/WhatsApp/Telegram
APort Agent Guardrails APort/aporthq Autorisation pré-action dans le hook before_tool_call (déterministe, non contournable par prompt injection) ; standard Open Agent Passport (OAP) v1.0 Kill switch, passeport définissant capacités/limites, logs signés cryptographiquement pour la conformité
openclaw security --audit Natif OpenClaw Détection des configurations non sûres, bindings publics Ajouté après la découverte des instances exposées

Le sandboxing suffit-il à sécuriser OpenClaw ?

Non. Lasso Security a démontré l'exfiltration de données depuis le sandbox NemoClaw/OpenShell malgré les politiques strictes : un attaquant capable d'influencer la file de tâches de l'agent (prompt injection, package npm typosquatté, README empoisonné) exfiltre les variables d'environnement, tokens tiers et credentials (/sandbox/.openclaw/openclaw.json) via des canaux d'egress légitimes (npm install, node, git/gh). Lasso Security résume : « OpenShell's binary-scoped egress policies are correctly enforced, but they cannot evaluate intent ».

Le sandbox limite le rayon d'explosion d'une action ; l'autorisation de l'entreprendre relève d'une autre couche. D'où l'intérêt d'une couche d'autorisation pré-action (APort) au-dessus du sandbox, comme le détaillent les politiques d'outils.

Comment durcir une instance OpenClaw ?

  1. Binding sur 127.0.0.1 uniquement + validation d'origine (ALLOW_ORIGIN) + pairing codes obligatoires.
  2. Mise à jour vers v2026.2.25+ (correctifs ClawJacked) et au-delà.
  3. Jamais exposer le port 18789 à Internet ; VPN/tunnel SSH pour l'accès distant.
  4. Credentials dédiés non-privilégiés ; ne pas connecter l'e-mail principal, les comptes admin, les wallets.
  5. Audit des skills installées entre nov. 2025 et fin fév. 2026 contre les IoC ClawHavoc (Koi Security, Repello AI).
  6. VM dédiée, données non sensibles, plan de reconstruction.

FAQ

Docker protège-t-il des vulnérabilités OpenClaw ? Pas entièrement : CVE-2026-25253 (WebSocket) et certaines CVE contournent l'isolation réseau Docker. Les flags de durcissement doivent s'ajouter à la mise à jour.

Le prompt injection est-il résolu ? Non. Adversa AI le reconnaît : « non résolu par l'industrie ». On le rend plus difficile par des contrôles indépendants (tool policy, exec approvals, sandbox, allowlists) ; les garde-fous de prompt système n'y suffisent pas.

Quel outil d'audit privilégier ? SecureClaw pour l'alignement OWASP/MITRE/CoSAI (conformité), ClawBands/APort pour le contrôle runtime des tool calls ; combiner les deux couvre conformité et exécution.


Sources

SFEIR Auteur

Articles similaires