Sécurité OpenClaw : surface d'attaque, sandboxing et outils d'audit communautaires
OpenClaw combine une puissance opérationnelle exceptionnelle et une surface d'attaque considérable. Les incidents recensés depuis fin 2025 (CVE, instances exposées par dizaines de milliers, campagne de supply chain ClawHavoc) dessinent le périmètre de risque qu'une DSI doit cartographier avant d'autoriser l'outil. Trois familles d'outils d'audit communautaires (SecureClaw, ClawBands, APort) et une procédure de durcissement encadrent cet usage.
Quels risques de sécurité pose OpenClaw en entreprise ?
Les incidents documentés s'accumulent :
- CVE-2026-25253 (CVSS 8.8, CWE-669) : RCE en un clic via détournement de WebSocket cross-site. Le Control UI accepte un paramètre
gatewayUrlsans validation et se connecte automatiquement au chargement, transmettant le token d'authentification. Découverte par Mav Levin (DepthFirst), corrigée dans v2026.1.29. La « localhost fallacy » explique pourquoi lier l'agent à 127.0.0.1 ne protège pas : l'exploit pivote via le navigateur de la victime. - 512 vulnérabilités identifiées lors d'un audit (plateforme Argus, GitHub Issue #1796), dont 8 critiques ; 138 CVE en 5 mois selon un décompte agrégé. OAuth stocké en clair dans des fichiers JSON.
- Instances exposées : 42 665 identifiées via l'outil ClawdHunter par le chercheur indépendant Maor Dayan (dont 5 194 vérifiées activement, 93,4 % en auth bypass) ; plus de 135 000 selon The Register/ARMO ; jusqu'à 258 305 début mars 2026 sur un watchboard public suivi en temps réel (Coral, « The OpenClaw Security Crisis of 2026 », 7 mars 2026).
- ClawHavoc : campagne de supply chain ayant planté de 335 à 1 184 skills malveillantes sur ClawHub (jusqu'à ~20 % du registre à certaines dates), distribuant l'Atomic macOS Stealer (AMOS) (credentials, données navigateur, wallets crypto). Classée
Trojan/OpenClaw.PolySkillpar Antiy CERT.
Microsoft tranche : OpenClaw « should be treated as untrusted code execution with persistent credentials » et « is not appropriate to run on a standard personal or enterprise workstation ». Un déploiement non validé sur un poste métier bascule alors dans le shadow AI.
Quels outils d'audit communautaires existent ?
| Outil | Éditeur | Mécanisme | Couverture / points clés |
|---|---|---|---|
| SecureClaw | Adversa AI (16 fév. 2026) | Plugin + skill comportementale ; 55 contrôles d'audit et de durcissement | OWASP ASI Top 10 : 10/10 ; MITRE ATLAS Agentic TTPs : 10/14 ; MITRE ATLAS OpenClaw : 14/17 ; CoSAI : 13/18 ; CSA Singapore : 8/11. Couvre CVE-2026-25253, IoC ClawHavoc, exposition type Moltbook, credential harvesting |
| ClawBands | Sandro Munda (SeyZ) | Middleware sur hook before_tool_call ; politique ALLOW / DENY / ASK ; défaut ASK pour outils inconnus |
Human-in-the-loop avant chaque action dangereuse ; audit trail JSON Lines append-only ; approbation via terminal/WhatsApp/Telegram |
| APort Agent Guardrails | APort/aporthq | Autorisation pré-action dans le hook before_tool_call (déterministe, non contournable par prompt injection) ; standard Open Agent Passport (OAP) v1.0 |
Kill switch, passeport définissant capacités/limites, logs signés cryptographiquement pour la conformité |
openclaw security --audit |
Natif OpenClaw | Détection des configurations non sûres, bindings publics | Ajouté après la découverte des instances exposées |
Le sandboxing suffit-il à sécuriser OpenClaw ?
Non. Lasso Security a démontré l'exfiltration de données depuis le sandbox NemoClaw/OpenShell malgré les politiques strictes : un attaquant capable d'influencer la file de tâches de l'agent (prompt injection, package npm typosquatté, README empoisonné) exfiltre les variables d'environnement, tokens tiers et credentials (/sandbox/.openclaw/openclaw.json) via des canaux d'egress légitimes (npm install, node, git/gh). Lasso Security résume : « OpenShell's binary-scoped egress policies are correctly enforced, but they cannot evaluate intent ».
Le sandbox limite le rayon d'explosion d'une action ; l'autorisation de l'entreprendre relève d'une autre couche. D'où l'intérêt d'une couche d'autorisation pré-action (APort) au-dessus du sandbox, comme le détaillent les politiques d'outils.
Comment durcir une instance OpenClaw ?
- Binding sur 127.0.0.1 uniquement + validation d'origine (
ALLOW_ORIGIN) + pairing codes obligatoires. - Mise à jour vers v2026.2.25+ (correctifs ClawJacked) et au-delà.
- Jamais exposer le port 18789 à Internet ; VPN/tunnel SSH pour l'accès distant.
- Credentials dédiés non-privilégiés ; ne pas connecter l'e-mail principal, les comptes admin, les wallets.
- Audit des skills installées entre nov. 2025 et fin fév. 2026 contre les IoC ClawHavoc (Koi Security, Repello AI).
- VM dédiée, données non sensibles, plan de reconstruction.
FAQ
Docker protège-t-il des vulnérabilités OpenClaw ? Pas entièrement : CVE-2026-25253 (WebSocket) et certaines CVE contournent l'isolation réseau Docker. Les flags de durcissement doivent s'ajouter à la mise à jour.
Le prompt injection est-il résolu ? Non. Adversa AI le reconnaît : « non résolu par l'industrie ». On le rend plus difficile par des contrôles indépendants (tool policy, exec approvals, sandbox, allowlists) ; les garde-fous de prompt système n'y suffisent pas.
Quel outil d'audit privilégier ? SecureClaw pour l'alignement OWASP/MITRE/CoSAI (conformité), ClawBands/APort pour le contrôle runtime des tool calls ; combiner les deux couvre conformité et exécution.
Sources
- microsoft.com/en-us/security/blog
- adversa.ai (SecureClaw, threat model)
- securityweek.com
- github.com/SeyZ/clawbands
- aport.io
- lasso.security
- conscia.com
- coral.inc
- nvd.nist.gov/vuln/detail/CVE-2026-25253
Articles similaires
Agents IA autonomes open source en entreprise : le guide du décideur (adoption, risques, gouvernance, TCO)
Hermès Agent et OpenClaw tournent déjà dans votre SI, souvent installés sans validation de la DSI. Adoption, sécurité, gouvernance RGPD et EU AI Act, TCO : le guide du décideur pour gouverner les agents IA autonomes open source sans freiner l'innovation.
Shadow AI : les collaborateurs ont déjà installé OpenClaw, que fait la DSI ?
OpenClaw tourne déjà dans une part significative des entreprises, souvent avec des accès privilégiés que personne n'a approuvés. 22 % des clients concernés en une semaine, 53 % avec des accès privilégiés : comment la DSI détecte, encadre et gouverne ce Shadow AI.
Déploiements durcis : NVIDIA NemoClaw, Archestra et Docker/VPS durci
Si l'entreprise décide d'utiliser OpenClaw, elle doit le faire dans un cadre durci. Trois options selon la maturité : NVIDIA NemoClaw (isolation kernel, encore en alpha), Archestra (RBAC/SSO) ou un déploiement Docker/VPS durci maison.
Politiques d'outils et approbations d'exécution dans OpenClaw : configurer une posture d'entreprise
OpenClaw offre un contrôle à plusieurs couches (tool policy, exec approvals, sandbox modes, elevated), mais son défaut « trusted single-operator » reste permissif : security=full, ask=off. Comment durcir chaque couche : deny-all, allowlist, mode auto avec reviewer.