Vulnérabilités critiques d’OpenClaw : failles, risques et bonnes pratiques
OpenClaw présente des failles critiques dont une compromission totale de passerelle.
- CVE-2026-25253 obtient un score CVSS 8.8.
- ClawJacked permet l’exécution autonome de commandes.
- CVE-2026-0142 injecte du code via une Skill compromise.
- CVE-2026-0198 expose des clés API en clair.
- Permissions excessives autorisent un accès illimité aux fichiers.
Exploits et vulnérabilités connus d’OpenClaw
| Vulnérabilité | Type | Score CVSS / Risque | Impact immédiat |
|---|---|---|---|
| CVE-2026-25253 | Compromission passerelle | CVSS 8.8 | Contrôle total de l’agent à distance |
| ClawJacked | Prise de contrôle agent IA | Critique | Exécution autonome de commandes |
| CVE-2026-0142 | Exécution de code via Skill | Élevé | Code malveillant injecté dans l’agent |
| CVE-2026-0198 | Fuite clés API dans logs | Élevé | Secrets exposés en clair |
| Permissions excessives | Défaut de conception | Élevé | Accès illimité aux fichiers système |
La vulnérabilité CVE-2026-25253 constitue la menace la plus sérieuse recensée sur OpenClaw, avec un score CVSS 8.8 indiquant une criticité élevée. Cette faille permet une compromission totale de la passerelle de l’agent, offrant à un attaquant un contrôle distant complet sur l’instance. La technique d’attaque baptisée ClawJacked exploite ce défaut pour exécuter des commandes de façon autonome, sans intervention humaine.
Deux autres CVE aggravent le paysage des risques. CVE-2026-0142 concerne l’exécution de code arbitraire via une Skill compromise : un module téléchargé peut injecter du code malveillant directement dans le moteur de l’agent. CVE-2026-0198 expose quant à elle les clés API enregistrées en clair dans les fichiers de logs, rendant accessibles les secrets d’authentification à toute personne ayant accès aux journaux système.
Enfin, un défaut de conception fondamental persiste : les permissions excessives accordées par défaut à l’agent lui permettent une exécution autonome de commandes sans restriction. Les tests menés sur des environnements utilisant Okta ont confirmé la persistance de ces faiblesses dans les mécanismes de protection des agents, malgré les correctifs successifs.
Comment se protéger : bonnes pratiques de sécurité
- Conteneurs avec volumes limités : Isolez chaque agent dans un conteneur Docker dont les montages de volumes sont strictement restreints aux répertoires nécessaires.
- Audit du code source : Inspectez manuellement chaque Skill avant de l’installer. Un développeur expérimenté peut auditer une base comme NanoClaw (500 lignes de code) en 8 minutes.
- Politique de liste blanche : N’autorisez que les Skills pré-approuvées par votre équipe sécurité. Bloquez toute installation non validée.
- Mise à jour régulière : Appliquez les patchs de la fondation OpenClaw dès leur publication, notamment pour corriger des vulnérabilités comme CVE-2026-25253 (score CVSS 8.8).
- Environnement isolé : Déployez OpenClaw sur un serveur dédié ou une VM sans accès direct au réseau interne.
- Authentification et chiffrement : Activez l’authentification obligatoire (désactivée par défaut) et le chiffrement optionnel introduit en version 2.3 pour les secrets stockés dans
config.json.
Clés API et secrets exposés en clair dans OpenClaw
- Stockage clair dans config.json : Les clés API et tokens d’authentification sont stockés sans chiffrement dans le fichier
~/.openclaw/config.json. Un attaquant avec un accès local au fichier peut lire l’intégralité des secrets. - Tokens exposés dans logs : Les journaux d’exécution enregistrent les tokens API et adresses email en clair. Cela expose les credentials lors d’une revue de logs partagés ou d’un dump mémoire.
- Mémoire et historique compromis : Les conversations et historiques de chat conservent les secrets et mots de passe échangés en clair. Même le cache mémoire de l’agent n’est pas protégé.
- RedLine cible chemins OpenClaw : Des infostealers comme RedLine et Lumma ciblent spécifiquement les chemins d’accès d’OpenClaw pour y voler les configurations et tokens persistants.
- Chiffrement optionnel depuis v2.3 : La version 2.3 introduit un chiffrement optionnel des secrets, mais n’est pas activé par défaut, laissant la majorité des installations en vulnérabilité.
Skills malveillantes sur la marketplace OpenClaw
Skills d’exfiltration et backdoors
L’analyse des contributions communautaires révèle que 17% des skills disponibles intègrent du code problématique. Parmi ces dernières, 8% contiennent des scripts d’exfiltration conçus pour transmettre des données vers un serveur tiers sans consentement. Ces programmes exploitent l’accès aux fichiers locaux de l’agent pour copier des documents sensibles, des historiques de chat ou des configurations réseau.
Parallèlement, 5% des skills malveillantes installent des backdoors assurant un accès distant persistant à la machine hôte. Une fois activées, ces portes dérobées permettent à un attaquant de contrôler l’agent à distance, de modifier ses comportements ou de l’utiliser comme point d’entrée vers le réseau interne. Ces backdoors restent souvent indétectables car elles se fondent dans le trafic légitime de l’agent.
Risques spécifiques et exemples
Parmi les menaces les plus insidieuses figure le voleur AMOS, un malware ciblant spécifiquement macOS. Déguisé en skill utilitaire, il capture les mots de passe enregistrés, les cookies de session et les portefeuilles de cryptomonnaies stockés sur le poste. Ce type d’attaque est particulièrement dangereux car il exploite la confiance accordée à la marketplace sans éveiller les soupçons.
Enfin, 4% des skills effectuent du minage de cryptomonnaies en arrière-plan. Ces scripts utilisent les ressources CPU de l’ordinateur hôte pour générer des jetons numériques, dégradant discrètement les performances jusqu’à rendre l’agent inutilisable. L’utilisateur constate des ralentissements inexplicables, tandis que le code malveillant continue de tourner tant que l’agent est actif.
Risques organisationnels et chaîne d’approvisionnement
L’intégration d’OpenClaw avec des outils métier comme Slack et SharePoint amplifie les risques : un agent compromis peut diffuser des commandes malveillantes via les API connectées. L’authentification désactivée par défaut expose l’agent directement sur Internet, tandis que les WebSocket sans vérification d’origine ouvrent une porte aux attaquants.
Cette configuration, conjuguée à des permissions OAuth excessives, permet un mouvement latéral rapide au sein du réseau d’entreprise. L’installation non autorisée d’agents sur des appareils professionnels (phénomène de Shadow AI) crée des points d’entrée invisibles pour les équipes de sécurité.
L’exécution autonome de code, combinée à l’accès aux fichiers et aux jetons OAuth, compromet l’ensemble du réseau en quelques minutes. Les attaquants exploitent la confiance implicite accordée aux connexions localhost pour escalader leurs privilèges sans déclencher d’alerte.
Questions fréquentes sur les vulnérabilités d’OpenClaw
Quels sont les risques spécifiques d’OpenClaw ?
Les risques spécifiques incluent l’exposition de clés API en clair dans les logs, l’exécution de skills malveillantes capables d’exfiltrer des données, et l’absence d’authentification forte sur les agents déployés, ce qui facilite les attaques par injection de commandes.
Comment détecter une faille de sécurité sur mon agent ?
Surveillez les logs en temps réel pour des appels API suspects, analysez les permissions accordées à chaque skill installée, et utilisez un outil de scan de code pour repérer les secrets exposés dans les fichiers de configuration ou les variables d’environnement.
Quels sont les inconvénients de déployer OpenClaw en entreprise ?
Les principaux inconvénients sont la gestion complexe des secrets, le manque de contrôle centralisé sur les skills installées par les équipes, et les risques de fuite de données sensibles via des canaux non chiffrés ou des permissions trop permissives sur les agents.
OpenClaw est-il sécurisé pour un usage professionnel ?
OpenClaw n’est pas totalement sécurisé par défaut pour un usage professionnel sans mesures correctives. Un déploiement robuste nécessite un chiffrement fort, une gestion stricte des accès, une revue manuelle de chaque skill, et une surveillance continue des logs pour détecter les anomalies.