Il y a quelques jours, une vulnérabilité à haute gravité a été corrigée dans OpenClaw qui, dans les bonnes conditions, aurait permis à un site Web malveillant de se connecter à un agent IA fonctionnant localement et en prenant le contrôle. L'échec a été signalé par des chercheurs externes et résolu par l'équipe OpenLaw en moins de 24 heures, ce qui souligne à la fois la rapidité de la réponse et la gravité du problème. Pour lire le rapport technique original, vous pouvez voir la note publiée par Oasis Security sur votre blog: Sécurité Oasis.
L'attaque était basée sur un vecteur très concret : la passerelle locale d'OpenClaw, un serveur WebSocket qui par défaut reste à l'écoute de la machine du développeur. À partir d'un site Web malveillant, JavaScript peut ouvrir des connexions à localhost en utilisant WebSockets - quelque chose que les navigateurs permettent - et, en profitant de l'absence d'un mécanisme de limitation de tentative efficace, forcer le mot de passe passerelle. Une fois que l'attaquant a été authentifié avec des autorisations administratives, la passerelle, par conception, a automatiquement accepté l'enregistrement de nouveaux "appareils de confiance" lorsque la connexion est venue de la machine locale, ce qui a permis aux chercheurs de dessiner un scénario de contrôle complet sur l'agent: interaction à distance, renversement des configurations, liste des nœuds et lecture des logos.
La combinaison d'autoriser les connexions de l'hôte local sans restrictions et d'auto-approbation locale est la clé du problème.. C'est un exemple de comment le confort pour le développeur (moins de friction pour connecter les outils locaux) peut devenir une passerelle pour les attaquants lorsque le risque de navigation web malveillante n'est pas pris en compte.
OpenClaw a affiché un correctif rapide: la correction apparaît dans la version 2026.2.25, publié le 26 février 2026. Si vous utilisez OpenClaw sur n'importe quel ordinateur, la bonne chose à faire est de mettre à jour dès que possible et de revoir les dispositifs d'accès et de confiance enregistrés dans votre instance.
L'avertissement d'Oasis Security rappelle également un problème plus important : le rayon d'attaque potentiel des agents d'IA est beaucoup plus large que celui des applications traditionnelles. Ces plates-formes, lorsqu'elles sont connectées à des services et outils commerciaux, peuvent exécuter des actions privilégiées et déplacer des données entre les systèmes; par conséquent, une instance engagée peut causer des dommages disproportionnés. Rapports supplémentaires de groupes tels que Salope et NeuroTrust ont documenté comment les cas exposés à Internet et les compétences malveillantes élargissent cette surface d'attaque.
En plus de l'échec qui a permis l'enlèvement via localhost, OpenClaw a corrigé une autre vulnérabilité de « log empoisonnement » qui a permis d'écrire des entrées malveillantes dans les fichiers d'enregistrement par les requêtes WebSocket aux instances publiques (TCP port 18789). Comme certains agents lisent leurs propres journaux pour purifier ou guider les décisions opérationnelles, un attaquant peut essayer d'insérer du contenu que l'agent interprète comme une information valide, provoquant des manipulations dans son raisonnement ou des actions indésirables. Ce problème a été documenté par Eye Security et résolu dans la version 2026.2.13; vous pouvez lire l'analyse en Recherche.eye.sécurité.
Cet épisode fait partie d'une gamme plus large de conclusions de sécurité dans OpenClaw : au cours des dernières semaines, plusieurs avertissements ont été publiés couvrant de l'exécution de code à distance au contournement d'authentification et SSRF, chacun avec son patch correspondant. Les avis et correctifs sont disponibles dans les dépôts de sécurité OpenClaw dans GitHub, par exemple sur les pages CVE et les versions liées à CVE-2026-25593, CVE-2026-24763 et autres corrections publiées les rejets du projet.
Tous les risques ne proviennent pas des infrastructures : l'écosystème des compétences et des repères est également exploité. Les chercheurs ont découvert des compétences malveillantes dans ClawHub qui agissent comme des conteneurs pour distribuer une nouvelle copie du Trojan Atomic Stealer dans macOS. Dans de tels cas, la chaîne d'infection commence généralement par une instruction apparemment inoffensive que l'exécution télécharge et exécute, et qui à son tour réduit le binaire malveillant d'un serveur contrôlé par l'attaquant. Trend Micro vous propose un rapport détaillé sur ce mode de livraison dans votre analyse : Tendances Micro.
Plus inquiétant est l'émergence de campagnes sociales au sein de la plate-forme de compétences elle-même : les acteurs menaçants ont laissé des commentaires sur les listes légitimes suggérant des commandes à exécuter manuellement sur les terminaux macOS, et ces commandes récupèrent des logiciels malveillants de serveurs précédemment associés à des campagnes similaires. Il y a aussi des cas où des compétences qui semblent des fonctions légitimes (par exemple des outils liés à la cryptomoneda) masquent la logique pour détourner des fonds ou des clés d'exfiltre. Une analyse récente par Straiker de milliers de compétences a trouvé des dizaines d'exemples de comportement malveillant ou frauduleux; son rapport est disponible dans Entraînement.
Compte tenu de cette image, les conseils sont simples mais essentiels. Premièrement, met à jour OpenClaw vers la dernière version(par exemple, 2026.2.25 contenant la correction rapide pour le bug local hôte). Ensuite, traitez les runtimes d'agents comme un code peu fiable : suivez la recommandation de l'équipe de recherche sur la sécurité de Microsoft Defender et déployez OpenLaw uniquement dans des environnements complètement isolés - une machine virtuelle dédiée ou un système physique séparé - avec des identifiants non privilégiés et des politiques d'accès restreint ; votre avis peut être lu ici : Microsoft.
Troisièmement, vérifier périodiquement les appareils et les autorisations accordés aux agents, éviter d'installer des compétences sans les examiner en profondeur et ne pas exécuter les commandes proposées par des tiers dans votre terminal sans les vérifier. Si vous utilisez l'intégration avec les services commerciaux, appliquez le principe de moins de privilège et surveillez le comportement de l'agent et les connexions sortantes. Il est également conseillé de faire pivoter les références qui ont pu être exposées et d'examiner les journaux pour détecter les activités inhabituelles après les mises à jour de sécurité ou les rapports.
Enfin, ce cas rappelle que la sécurité des plateformes d'agents d'IA nécessite des approches hybrides : d'une part, les techniques de sécurité classiques (patches, contrôle d'accès, limitation des tentatives); d'autre part, des mesures spécifiques pour de nouvelles menaces telles que les injections indirectes via des logs, les compétences manipulées et les chaînes d'agents à agents qui exploitent la confiance implicite entre les composants. Les organisations et les développeurs doivent intégrer ces considérations dans leur gouvernance non humaine et leurs tests de sécurité en cours; pour une vision des implications techniques et opérationnelles, les analyses des laboratoires Endor et d'autres équipes de recherche sont utiles à lire: Endor Labs.
Bref, l'écart dans OpenClaw a été rapidement résolu, mais l'épisode montre des risques systémiques dans les temps d'exécution des agents et des marchés de compétences. Mettre à jour, isoler et auditionner ne sont pas de nouvelles recommandations, mais dans ce contexte, elles deviennent des mesures indispensables pour empêcher un navigateur simple ou une compétence apparemment inoffensive de devenir la clé d'une intrusion majeure.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...