Source: : kaspersky.fr — article signé par Stan Kaminsky (27 fév. 2026). L’auteur analyse les menaces posées par OpenClaw (ex‑Clawdbot/Moltbot), un agent d’IA open source local se branchant à WhatsApp, Telegram, Signal, Discord et Slack, doté d’un accès étendu (fichiers, email, calendrier, navigateur, shell) et orchestré via une passerelle. Devenu viral dès janvier 2026, le projet a connu une vague de problèmes de sécurité (failles critiques, « skills » malveillantes, fuites de secrets via Moltbook), un conflit de marque avec Anthropic et même le détournement de son compte X pour des arnaques crypto. Le tout recoupe les risques de l’OWASP Top 10 for Agentic Applications.
🚨 Vulnérabilités et réglages dangereux. La faille la plus grave est CVE-2026-25253 (CVSS 8.8) : la visite d’un site piégé par l’agent ou un simple clic sur un lien malveillant divulgue le jeton d’authentification principal, offrant un contrôle administratif total et l’exécution de commandes arbitraires sur la passerelle (corrigé en version 2026.1.29). Deux autres vulnérabilités d’injection de commandes sont rapportées (CVE-2026-24763, CVE-2026-25157). Des paramètres par défaut aggravent l’exposition : authentification désactivée, WebSocket sans vérification d’origine, confiance implicite au localhost (dangereux avec proxy inverse), outils sensibles accessibles en mode Invité, et divulgation mDNS de paramètres critiques.
🧩 Stockage de secrets en clair et « skills » malveillantes. Les clés API, mots de passe et identifiants sont conservés en texte clair dans la configuration, la mémoire et l’historique des chats. Des voleurs d’informations comme RedLine et Lumma ciblent déjà les chemins OpenClaw; Vidar a également volé des données OpenClaw. Le répertoire ClawHub a vu l’apparition de centaines de compétences malveillantes (ex. intégration du voleur AMOS pour macOS). Un accord avec VirusTotal permet un filtrage antivirus et une analyse LLM des compétences, sans garantir une protection totale.
⚙️ Défauts structurels (« cinq terrifiants »). OpenClaw cumule des caractéristiques intrinsèquement risquées : accès privilégié aux données sensibles, exposition massive à des données non fiables (chats, emails, web), vulnérabilité à l’injection de prompt, mémoire persistante pouvant être empoisonnée, et capacité d’exfiltration (emails, API, etc.). Ces points sont représentatifs des agents d’IA polyvalents en général.
🏢 Risques organisationnels. Installé sur un poste d’entreprise et relié à Slack/SharePoint, OpenClaw combine exécution autonome, accès étendu au système de fichiers et autorisations OAuth excessives, favorisant une compromission profonde. Le regroupement de secrets non chiffrés crée un point de défaillance critique. Des risques de non‑conformité (ex. loi européenne sur l’IA, NIST AI RMF) sont soulignés. Même sur des appareils personnels, la présence de configurations VPN ou jetons de navigateur d’entreprise peut faciliter l’infiltration; la gestion via messageries accroît les risques d’ingénierie sociale (ciblage de l’employé et de l’agent, usurpation) et l’exfiltration discrète via des services d’entreprise.
🕵️ Détection. Indicateurs et signaux à surveiller :
- Dossiers hôtes : ~/.openclaw/, ~/clawd/, ~/.clawdbot.
- Empreintes HTML des panneaux Clawdbot (scan interne ou via Shodan).
- WebSocket sur ports 3000 et 18789.
- mDNS sur port 5353 (service openclaw-gw.tcp).
- Événements inhabituels d’auth/OAuth (nouveaux App ID, consentements), chaînes User-Agent Node.js et agents non standards.
- Schémas d’accès automatisés (lecture massive d’emails/fichiers, scans périodiques hors heures ouvrées).
🛡️ Contrôle du Shadow AI et déploiement sécurisé. L’auteur recommande des pratiques pour réduire l’empreinte Shadow IT/AI : listes d’autorisation d’apps/intégrations (et listes fermées d’extensions/skills), évaluations de sécurité avant tout accès, exigences équivalentes aux serveurs sensibles, moindre privilège, restriction d’administrateurs, OAuth à portée minimale et revues régulières des intégrations/jetons. Pour des déploiements contrôlés : sous‑réseaux isolés, jetons à durée de vie courte et comptes de service dédiés, isolation des outils/données non nécessaires (tests sur données synthétiques), journalisation détaillée (événements, paramètres de commande, artefacts associés), détection SIEM adaptée (techniques LotL), et scans de serveurs MCP/skills via des outils comme skill-scanner, mcp-scanner ou mcp-scan; des outils open source existent pour auditer les configurations OpenClaw.
IOCs et TTPs clés
- IOCs : chemins ~/.openclaw/, ~/clawd/, ~/.clawdbot; ports 3000, 18789 (WebSocket); mDNS openclaw-gw.tcp sur 5353; empreintes HTML Clawdbot; UA Node.js; CVEs : CVE-2026-25253, CVE-2026-24763, CVE-2026-25157; présence de « skills » suspectes (ex. AMOS).
- TTPs : vol de jeton d’authentification via navigation malveillante entraînant prise de contrôle administrative; exécution de commandes arbitraires; injection de commandes; injection de prompt et empoisonnement de mémoire; exfiltration via emails/API; abus d’autorisations OAuth; divulgation mDNS; origines WebSocket non vérifiées; stockage de secrets en clair; ciblage par info‑stealers (RedLine, Lumma, Vidar).
Il s’agit d’une analyse de menace détaillant les risques d’OpenClaw, les vulnérabilités connues, les modes de détection et les pratiques de contrôle du Shadow AI en environnement professionnel.
🧠 TTPs et IOCs détectés
TTP
vol de jeton d’authentification via navigation malveillante entraînant prise de contrôle administrative; exécution de commandes arbitraires; injection de commandes; injection de prompt et empoisonnement de mémoire; exfiltration via emails/API; abus d’autorisations OAuth; divulgation mDNS; origines WebSocket non vérifiées; stockage de secrets en clair; ciblage par info-stealers (RedLine, Lumma, Vidar).
IOC
chemins ~/.openclaw/, ~/clawd/, ~/.clawdbot; ports 3000, 18789 (WebSocket); mDNS openclaw-gw.tcp sur 5353; empreintes HTML Clawdbot; UA Node.js; CVEs : CVE-2026-25253, CVE-2026-24763, CVE-2026-25157; présence de « skills » suspectes (ex. AMOS).
🔗 Source originale : https://www.kaspersky.fr/blog/moltbot-enterprise-risk-management/23656/