Anatomie des attaques sur OpenClaw : injection de prompt, infostealers et supply chain
Ou : 1 184 skills malveillants, 135 000 instances exposées, et un patch en 24 heures
Dans le premier article, on a disséqué comment le localhost trust transforme votre agent IA en buffet à volonté. Dans le deuxième, on a montré que l’architecture entière est structurellement incapable d’être sécurisée — que la fonctionnalité est la vulnérabilité.
Tout ça, c’était de la théorie. Des diagrammes d’architecture, des principes de sécurité, des analogies avec des coffres-forts.
Ce qui suit, c’est ce qui s’est passé quand les attaquants ont lu les mêmes diagrammes.
OpenClaw : 60 CVEs, 3 noms, et un créateur chez OpenAI
Trois noms en cinq jours (la suite)
Quand on a écrit les premiers articles de cette série, le projet s’appelait encore Clawdbot, puis Moltbot. Depuis, il a changé de nom une troisième fois. Récapitulons, parce que même pour quelqu’un qui suit l’histoire, c’est un peu comme essayer de suivre les personnages dans un roman russe.
| Date | Nom | Pourquoi |
|---|---|---|
| Novembre 2025 | Clawdbot | Lancement par Peter Steinberger (Autriche) |
| 27 janvier 2026 | Moltbot | Cease-and-desist d’Anthropic (“Clawdbot” ≈ “Claude”) |
| 29 janvier 2026 | OpenClaw | Double crise : CVE critique + supply chain empoisonnée |
| 14 février 2026 | OpenClaw Foundation | Steinberger rejoint OpenAI, projet transféré à une fondation |
C’est comme renommer un incendie. Le feu s’en fiche de comment vous l’appelez.
En mars 2026, la Chine a interdit OpenClaw dans les agences gouvernementales et les entreprises d’État. Le projet compte maintenant plus de 247 000 étoiles GitHub. Et plus de 60 CVEs documentés1.
ClawJacked : l’attaque zero-click qui a tout changé
Le 29 janvier 2026 — le même jour que le renommage en OpenClaw — des chercheurs d’Oasis Security ont publié une vulnérabilité qui résume assez bien tout ce qui ne va pas avec les agents IA autonomes.
CVE-2026-25253. Score CVSS : 8.8 sur 10.
Le principe est d’une élégance terrifiante.
Vous visitez un site web. N’importe quel site web — un blog, un article Medium, une page de documentation. Pendant que vous lisez tranquillement, un script JavaScript caché dans la page ouvre une connexion WebSocket vers localhost. Vers votre propre machine. Vers l’instance OpenClaw qui tourne en arrière-plan.
Et ici, deux décisions de design se télescopent :
Les navigateurs n’empêchent pas les WebSockets vers localhost. Les politiques cross-origin, qui protègent normalement contre ce genre d’attaque, ne s’appliquent tout simplement pas aux connexions WebSocket vers l’adresse de loopback. C’est un trou dans le modèle de sécurité du web que tout le monde connaît et que personne n’a comblé.
OpenClaw n’avait pas de rate limiting sur localhost. Parce que localhost, c’est vous. Vous pouvez vous faire confiance, non ? Le script pouvait donc tenter des centaines de mots de passe par seconde. Sans throttling. Sans logging. Sans notification.
La chaîne d’attaque complète :
Site malveillant
→ WebSocket vers localhost:3210
→ Brute-force du mot de passe (centaines/seconde, aucun rate limit)
→ Enregistrement comme "trusted device"
→ Contrôle total de l'agent IA
→ Accès à tout : emails, fichiers, shell, API keys
Temps nécessaire : quelques minutes. Interaction requise de la victime : aucune, à part visiter un site web.
L’équipe OpenClaw a publié un patch en 24 heures (version 2026.2.25). Ce qui est remarquable. Ce qui est moins remarquable, c’est ce qui a suivi : entre le 18 et le 21 mars 2026, neuf CVEs supplémentaires ont été divulgués en quatre jours. L’un d’entre eux a atteint un score CVSS de 9.9 sur 102.
| CVE | Type | CVSS | Impact |
|---|---|---|---|
| CVE-2026-25253 | WebSocket hijacking (ClawJacked) | 8.8 | Prise de contrôle totale via navigateur |
| CVE-2026-24763 | Injection de commandes | Haute | Exécution de code arbitraire |
| CVE-2026-26322 | SSRF | Haute | Accès réseau interne |
| CVE-2026-26329 | Path traversal | Haute | Lecture de fichiers locaux |
| CVE-2026-30741 | Prompt injection → RCE | Haute | Exécution de code via injection de prompt |
Le tracker jgamblin/OpenClawCVEs liste désormais 156 advisories de sécurité, dont 128 attendent encore l’attribution d’un numéro CVE.
On en est au point où les CVEs arrivent plus vite que les numéros de version.
ClawHavoc : le marketplace empoisonné
Si ClawJacked était un cambrioleur qui crochète la serrure, ClawHavoc est un vendeur de serrures qui vous en installe une avec une porte dérobée intégrée.
En février 2026, Koi Security a conduit un audit complet de ClawHub — le marketplace de skills communautaires d’OpenClaw. Sur 2 857 skills disponibles à l’époque, ils en ont identifié 341 malveillants. 335 d’entre eux provenaient d’une seule campagne coordonnée.
Un mois plus tard, le registre avait gonflé à plus de 10 700 skills, et le nombre de skills malveillants confirmés dépassait les 1 184.
C’est npm, mais sans le semblant de vetting. C’est le Google Play Store des agents IA, sauf que même le Play Store a un processus de review (aussi imparfait soit-il).
Les attaquants utilisaient trois techniques distinctes :
Technique 1 — Prompt injection dans les descripteurs
Les fichiers de description des skills contenaient des instructions cachées. Quand OpenClaw lisait la documentation d’un skill pour décider comment l’utiliser, il ingérait en même temps des instructions malveillantes. L’agent faisait exactement ce qu’on lui demandait — c’est juste que les instructions venaient de l’attaquant.
Technique 2 — Reverse shells camouflés
Un skill se faisant passer pour un outil Polymarket légitime exécutait en réalité une commande qui ouvrait un shell interactif vers le serveur de l’attaquant. Documentation professionnelle, nom anodin, reviews gonflées — tout l’habillage d’un package légitime.
Vous vous souvenez du dialogue avec DevOps Dave dans l’article précédent ? “Elles avaient 4 000 téléchargements ! C’est forcément safe.” Eh bien, on sait maintenant que ces compteurs étaient artificiellement gonflés, exactement comme O’Reilly l’avait démontré.
Technique 3 — Exfiltration via CVE-2026-25253
Les skills malveillants exploitaient directement la vulnérabilité ClawJacked pour extraire les tokens d’authentification. Pourquoi réinventer la roue quand la porte est déjà ouverte ?
135 000 portes ouvertes sur Internet
Si les skills malveillants sont le poison, les instances exposées sont le buffet à volonté.
En février 2026, SecurityScorecard a scanné Internet et trouvé 135 000 instances OpenClaw accessibles publiquement. Sans authentification. Sans firewall. Avec des clés API en clair dans les fichiers .env3.
Plus de 50 000 de ces instances étaient directement exploitables via RCE — exécution de code à distance.
Pour mettre les choses en perspective : en janvier, quand on parlait de “1 000 à 1 700 instances exposées sur Shodan” dans les premières analyses, c’était déjà alarmant. Multiplier par cent en un mois, c’est le genre de courbe de croissance que même les startups en série B n’osent pas promettre à leurs investisseurs.
Un chercheur a démontré qu’il pouvait, depuis ces instances exposées, accéder à :
- Des clés API Anthropic — ironie du sort, vu que c’est un cease-and-desist d’Anthropic qui a déclenché le premier renommage
- Des tokens Telegram et Slack — permettant d’envoyer des messages au nom des utilisateurs
- Des historiques de conversations complets — des mois de chat, en clair
- Des accès administrateur système — avec possibilité d’exécuter des commandes
Parmi les serveurs identifiés : une agence gouvernementale américaine et au moins deux entreprises cotées en bourse avec une capitalisation dépassant les 20 milliards de dollars.
Shodan pour OpenClaw, c’est Google Street View pour les maisons sans porte. Vous tapez le bon filtre, et vous avez la liste de tous les gens qui ont oublié de fermer à clé. Sauf qu’ici, la clé n’a jamais été installée.
Les infostealers s’adaptent (et vite)
L’écosystème criminel ne dort jamais. Quand un nouveau logiciel atteint 100 000 installations, les familles de malwares créent des modules dédiés. C’est de la segmentation de marché, version darknet.
Les skills malveillants de ClawHavoc embarquaient plusieurs types de charges :
Sur macOS : Atomic Stealer — un infostealer qui cible spécifiquement les développeurs Apple. Il collecte les mots de passe du Trousseau, les cookies de navigateur, et les fichiers de configuration des outils de développement. Avec OpenClaw, il a maintenant accès à auth-profiles.json, memory.md, et tout fichier .env contenant des clés API.
Sur Windows : des keyloggers installés silencieusement via des skills qui demandaient un accès shell “pour la configuration initiale”. Le genre de permission que tout le monde accorde sans y penser.
Sur les deux : des cryptominers Monero déployés en arrière-plan. Parce que pourquoi voler les secrets de quelqu’un quand vous pouvez aussi utiliser son processeur pour miner de la crypto ?
Et puis il y a les campagnes coordonnées. La plus documentée est celle analysée par SlowMist, qui cible spécifiquement les utilisateurs crypto :
| Étape | Action | Outil |
|---|---|---|
| 1. Reconnaissance | Identifier les utilisateurs OpenClaw avec des wallets crypto | Shodan + analyse de trafic |
| 2. Injection | Compromettre l’agent via skill malveillant ou prompt injection | ClawHavoc / email piégé |
| 3. Exfiltration | Extraire les clés privées, seed phrases, tokens d’exchange | Modules infostealer |
| 4. Liquidation | Vider les wallets en quelques minutes | Transactions automatisées |
De la reconnaissance à la liquidation, la chaîne peut être entièrement automatisée. L’attaquant n’a même pas besoin d’être devant son écran. Son agent IA attaque votre agent IA. C’est du PvP de robots, sauf que c’est votre argent qui disparaît4.
Le dialogue qu’on n’a pas envie d’avoir
DevOps Dave : J’ai mis à jour OpenClaw. La dernière version. Patché ClawJacked, tout.
Security Sarah : Bien. Et tes skills ?
DevOps Dave : Quoi, mes skills ?
Security Sarah : Les 47 skills communautaires que tu as installées. Tu les as auditées après la mise à jour ?
DevOps Dave : …il faut auditer les skills ?
Security Sarah : Dave. 1 184 skills sur 10 700 sont malveillants. C’est plus de 10%. Si tu commandais une pizza et qu’on te disait qu’une tranche sur dix contient du cyanure, tu mangerais quand même ?
DevOps Dave : Mais les miennes ont de bonnes reviews !
Security Sarah : Les reviews sont gonflées. Les compteurs de téléchargement sont faux. La documentation est professionnelle parce que les attaquants sont des professionnels.
DevOps Dave : OK. Mais au moins j’ai changé le mot de passe par défaut.
Security Sarah : Le mot de passe que ClawJacked brute-force à des centaines de tentatives par seconde sans rate limiting ?
DevOps Dave : …l’ancien mot de passe. Avant le patch.
Security Sarah : Et entre le moment où tu as installé OpenClaw et le moment où tu as appliqué le patch, combien de sites web tu as visités ?
DevOps Dave : Je préfère ne pas y penser.
Security Sarah : C’est exactement le problème.
La porte était ouverte
Revenons au point de départ. Dans le premier article, on avait posé la thèse : “Le pitch de Clawdbot et le pitch des chercheurs en sécurité décrivaient le même produit.”
Trois mois plus tard, les chiffres sont là. 60 CVEs. 1 184 skills empoisonnés. 135 000 instances nues sur Internet. Des agences gouvernementales et des entreprises à 20 milliards de dollars parmi les victimes.
Et la leçon la plus troublante, c’est que les attaquants n’ont rien inventé de nouveau. Ils n’ont pas découvert une faille obscure dans un protocole cryptographique. Ils n’ont pas exploité un zero-day dans le noyau Linux. Ils ont fait exactement ce que l’architecture leur permettait de faire. Ils ont utilisé le produit comme prévu — juste pas par les bonnes personnes.
La fonctionnalité est la vulnérabilité. On l’a dit dans l’article 1. On l’a démontré dans l’article 2. Et maintenant, on a les preuves empiriques.
Dans le prochain et dernier article de cette série, on passera de l’autopsie à la prescription. L’OWASP a publié un Top 10 spécifique aux systèmes d’IA agentique. On va mapper chaque risque identifié sur ce qu’on a observé avec OpenClaw, et construire un guide de hardening en six couches pour ceux qui — malgré tout — décident d’utiliser un agent IA autonome.
Parce que la vraie question n’a jamais été “est-ce que c’est dangereux ?” La vraie question, c’est : “comment gérer le risque sans se mentir ?”
Pour suivre le rythme des CVEs d’OpenClaw, il existe maintenant un tracker dédié sur GitHub (jgamblin/OpenClawCVEs) qui en liste 156 au moment où j’écris ces lignes, dont 128 en attente d’attribution CVE. C’est le genre de repo où le nombre de stars augmente principalement parce que les gens veulent recevoir des notifications — ce qui est en soi un commentaire assez parlant sur l’état de la situation. ↩︎
Neuf CVEs en quatre jours, entre le 18 et le 21 mars 2026. Un score CVSS de 9.9 signifie, en gros : “Si vous avez ce logiciel et qu’il est accessible, vous êtes compromis.” Six des neuf étaient classés haute sévérité. Le seul point positif : l’équipe OpenClaw patche vite. Le point négatif : elle a beaucoup d’occasions de pratiquer. ↩︎
Le chiffre de 135 000 instances provient de SecurityScorecard (février 2026). Un autre scan par Bitsight a identifié plus de 40 000 instances dans 82 pays, dont 35,4% étaient vulnérables au moment de l’analyse. La différence de chiffres entre les deux études s’explique par les méthodologies de scan différentes et le fait qu’OpenClaw peut tourner sur des ports non-standard. Dans tous les cas, l’ordre de grandeur est le même : des dizaines de milliers de machines ouvertes aux quatre vents. ↩︎
L’asymétrie attaquant/défenseur, déjà mentionnée dans l’article 2, prend une dimension nouvelle avec l’automatisation. Un attaquant peut lancer des milliers de tentatives d’injection de prompt par jour, de façon entièrement automatisée. Le défenseur doit les bloquer toutes. L’IA accélère les deux côtés de l’équation, mais l’avantage structurel reste du côté de l’attaque — parce que l’attaquant n’a besoin que d’un seul succès. ↩︎