Selon VentureBeat, l’agent IA open source OpenClaw (ex-Clawdbot/Moltbot) connaît un essor fulgurant, mais des scans Internet ont révélé plus de 1 800 instances exposées divulguant des clés API, des historiques de chats et des identifiants. Des chercheurs et des équipes sécurité (Cisco, IBM Research) soulignent que les agents IA créent une surface d’attaque sémantique que pare-feu, EDR et SIEM voient mal, en particulier sur du BYOD.
• Pourquoi les périmètres échouent ⚠️: les attaques visent la sémantique (ex. « Ignore previous instructions ») plutôt que des signatures de malware. La « trifecta létale » décrite par Simon Willison — accès à des données privées, exposition à du contenu non fiable, et communication externe — est réunie dans OpenClaw, permettant des fuites sans alerte. Les SOC voient un HTTP 200 et du comportement process standard, alors que l’attaque est dans le raisonnement du modèle.
• Ce que les scans Shodan ont montré 🔎: Jamieson O’Reilly (Dvuln) a identifié des serveurs via l’empreinte HTML « Clawdbot Control ». Huit instances étaient sans authentification, offrant exécution de commandes et configuration. Découvertes: clés Anthropic, tokens Telegram, identifiants OAuth Slack, historiques complets de conversations; deux instances divulguaient des mois d’échanges dès le handshake WebSocket. Cause clé: OpenClaw fait confiance à localhost par défaut; derrière nginx/Caddy, tout paraît venir de 127.0.0.1 et est « local » donc autorisé. Le vecteur précis a été patché, mais l’architecture de confiance n’a pas changé.
• Évaluation Cisco et skills malveillants 🧪: Cisco qualifie OpenClaw de « révolutionnaire » mais « cauchemar » sécurité et publie un Skill Scanner open source. Le test d’un skill tiers (« What Would Elon Do? ») révèle 9 findings (2 critiques, 5 élevés) et un comportement assimilable à du malware: exécution silencieuse d’un curl vers un serveur externe de l’auteur (exfiltration) et prompt injection pour contourner les garde-fous. L’agent devient un « deputy confus », canalisant des fuites hors DLP/proxy/EDR.
• Visibilité qui se dégrade encore 📉: des agents OpenClaw rejoignent Moltbook, un « réseau social pour agents » où les posts passent via API. Pour s’inscrire, des scripts shell externes réécrivent la configuration des agents; ils publient sur leur travail, les habitudes des utilisateurs et leurs erreurs — fuite de contexte par défaut. Toute injection présente dans un post peut se propager via des connexions MCP.
• Recommandations mises en avant dans l’article: traiter les agents comme de la prod (moindre privilège, tokens restreints, actions allowlistées, authentification forte, audit bout en bout); auditer le réseau (Shodan) pour signatures OpenClaw/Moltbot/Clawdbot; cartographier la « trifecta »; segmenter fortement les accès; analyser les skills (outil Cisco); adapter les playbooks d’incident à l’injection de prompt; établir des politiques encadrant l’expérimentation.
IOCs et TTPs • Empreintes/IOCs: chaîne HTML « Clawdbot Control » (Shodan) ; trafic perçu comme localhost/127.0.0.1 via reverse proxy ; handshake WebSocket divulguant historiques. • TTPs: prompt injection/directives malveillantes; exfiltration par curl vers serveur externe; abus de confiance localhost derrière reverse proxy; instances sans authentification; MCP sans authentification; découverte via Shodan; « confused deputy »; réécriture de configuration par scripts externes; fuite de contexte via posts API.
Conclusion: article de presse spécialisé exposant des vulnérabilités, techniques d’attaque et recommandations autour d’OpenClaw et des agents IA, visant à illustrer un risque systémique et des angles morts opérationnels.
🔗 Source originale : https://venturebeat.com/security/openclaw-agentic-ai-security-risk-ciso-guide