⚠️ OpenClaw : pourquoi les experts en cybersécurité recommandent de partir du principe que vous êtes compromis
OpenClaw (anciennement Clawdbot) est un framework d'agent IA open source permettant à un assistant IA d'agir au nom d'un utilisateur — fichiers, Slack, Discord, Telegram, achats en ligne — en utilisant ses propres accès et permissions. Lancé en novembre 2025, il a atteint 347 000 étoiles GitHub en moins de six mois. En cinq mois également, 138 CVEs y ont été associés — dont 7 critiques, 49 de sévérité haute. Si vous ou votre équipe utilisez OpenClaw, la posture recommandée par les experts est sans équivoque : partez du principe que vous êtes compromis.
Points clés à retenir
- CVE-2026-25253 (CVSS 8.8) : RCE en 1 clic via WebSocket, 35 % des instances exposées
- CVE-2026-22172 (CVSS 9.9) + CVE-2026-32922 (CVSS 9.9) : contrôle admin sans credentials
- 12 % des skills ClawHub malveillants en février 2026 — 824+ actifs au 3 avril 2026 (campagne ClawHavoc)
- +135 000 instances exposées, dont 63 % sans authentification (ARMO, 2026)
- Microsoft déconseille tout déploiement sur poste contenant des données sensibles (19/02/2026)
- Version minimale recommandée : 2026.3.28
Qu'est-ce qu'OpenClaw ?
Lancé en novembre 2025, OpenClaw a atteint 347 000 étoiles GitHub en moins de six mois. Sa popularité est virale. Son modèle de sécurité, lui, est fondamentalement fragile : l'agent dispose des mêmes droits que l'utilisateur, connecté à tous ses services. Une faille ne compromet pas un composant isolé — elle compromet tout ce à quoi l'agent avait accès.
Chronologie des incidents (novembre 2025 – avril 2026)
| Date | Incident | Sévérité |
|---|---|---|
| Novembre 2025 | Lancement d'OpenClaw (ex-Clawdbot), adoption virale — 347 000 ⭐ GitHub | — |
| Janvier 2026 | CVE-2026-25253 (CVSS 8.8) : RCE en 1 clic via WebSocket local, patchée en 48h. 35 % des instances exposées. Un Docker non patché compromis en <90 s | 🔴 Critique |
| Février 2026 | Campagne ClawHavoc : 12 % des skills ClawHub malveillants (341/2 857) — keyloggers et credential stealers | 🔴 Critique |
| 19 février 2026 | Microsoft Security Blog : guide officiel déconseillant le déploiement sur tout poste contenant des données sensibles | 🟠 Alerte |
| Mars 2026 | CVE-2026-22172 (CVSS 9.9) : auto-déclaration de scopes admin via WebSocket — toutes versions avant 2026.3.12 | 🔴 Critique |
| 19 mars 2026 | CVE-2026-32038 : contournement isolation réseau Docker via network=container:. Corrigé en 2026.2.24 |
🔴 Critique |
| 29 mars 2026 | CVE-2026-32922 (CVSS 9.9) : escalade via device.token.rotate — +135 000 instances exposées, 63 % sans auth |
🔴 Critique |
| 3 avril 2026 | Ars Technica : "Assume compromise" — 3 nouvelles vulnérabilités critiques, dont CVE-2026-33579 (CVSS 9.8). 824+ skills malveillants actifs | 🔴 Critique |
Les 5 vulnérabilités majeures décryptées
CVE-2026-25253 — Exécution de code à distance en 1 clic (CVSS 8.8)
La vulnérabilité exploite le gateway WebSocket d'OpenClaw (port 18789 par défaut, validation d'origine insuffisante). Une simple visite sur une page piégée suffisait à compromettre la machine. 35 % des instances déployées étaient exposées. Un conteneur Docker non patché était compromis en moins de 90 secondes dans les tests de démonstration. (ProArch Security, janvier 2026)
CVE-2026-22172 — Déclaration admin via WebSocket (CVSS 9.9)
Des clients WebSocket pouvaient s'auto-déclarer avec des scopes administrateur, contournant entièrement l'authentification. Affecte toutes les versions antérieures à 2026.3.12.
CVE-2026-32038 — Contournement de l'isolation réseau Docker (corrigée en 2026.2.24)
Via le paramètre network=container:, un agent accédait au namespace réseau d'autres conteneurs — base de données, services internes, APIs privées. Nécessitait un accès opérateur de confiance préalable.
CVE-2026-32922 — Escalade via device.token.rotate (CVSS 9.9)
La fonction device.token.rotate ne contraignait pas les scopes des nouveaux tokens générés. Un attaquant avec le niveau de permission le plus bas obtenait un contrôle administrateur complet.
CVE-2026-33579 — Escalade via /pair approve (CVSS jusqu'à 9.8)
La commande /pair approve ne transmettait pas les scopes de sécurité du demandeur dans la vérification d'autorisation centrale. Patchée en version 2026.3.28. (NVD, avril 2026)
La supply chain ClawHub : 824+ skills malveillants actifs
En février 2026, des chercheurs ont détecté la campagne ClawHavoc : des skills distribués via ClawHub officiel, déguisés en outils de productivité (Gmail, Notion, Slack, GitHub), embarquant du code malveillant.
Chiffres clés (Blink Security, avril 2026) : 341 skills malveillants sur 2 857 en février 2026 (12 %). Ce chiffre a progressé : 824+ skills malveillants actifs répertoriés au 3 avril 2026, incluant keyloggers et credential stealers ciblant tokens OAuth, clés API et variables d'environnement.
Docker et VM : une protection insuffisante
| Vecteur d'attaque | Docker seul | VM dédiée | Docker + 5 flags |
|---|---|---|---|
| CVE-2026-25253 (RCE WebSocket) | ❌ | ✅ | ⚠️ Partiel |
| CVE-2026-32038 (namespace réseau) | ❌ avant 2026.2.24 | ✅ | ✅ |
| CVE-2026-22172 (admin scope auto) | ❌ | ❌ | ❌ |
| CVE-2026-32922 (device.token.rotate) | ❌ | ❌ | ❌ |
| Skills malveillants ClawHub | ❌ | ⚠️ Partiel | ⚠️ Partiel |
| Exploit kernel (kernel partagé) | ❌ | ✅ | ❌ |
Microsoft Security Blog (19/02/2026) : « Le runtime peut ingérer du texte non fiable, télécharger et exécuter des skills depuis des sources externes, et effectuer des actions avec les credentials qui lui sont assignés — sans contrôles équivalents sur l'identité, la gestion des entrées ou le scoping des privilèges. Si une organisation détermine qu'OpenClaw doit être évalué, il doit être déployé uniquement dans un environnement entièrement isolé — VM dédiée, credentials non-privilégiés, accès limité à des données non-sensibles, monitoring continu et plan de reconstruction. »
— Microsoft Security Blog, 19 février 2026
Ce que vous devez faire maintenant
Mises à jour obligatoires
- Mettre à jour vers OpenClaw 2026.3.28 minimum (ferme CVE-2026-33579 et CVE-2026-32922)
- Version Docker ≥ 2026.2.24 (ferme CVE-2026-32038)
5 flags Docker de durcissement obligatoires
docker run \
--user nobody \
--read-only \
--cap-drop=ALL \
--security-opt=no-new-privileges \
# Ne JAMAIS monter le socket Docker (/var/run/docker.sock)Firewall et réseau
- Configurer UFW via les chaînes iptables DOCKER-USER (les règles UFW standard ne s'appliquent pas aux conteneurs)
- Bloquer le port 18789 en exposition publique
- Bind le gateway WebSocket à 127.0.0.1 uniquement (jamais 0.0.0.0)
Audit et révocation
- Auditer chaque skill installé depuis ClawHub entre novembre 2025 et fin février 2026
- Révoquer et régénérer tous les tokens et clés API connectés à OpenClaw
- Traiter chaque session passée comme potentiellement compromise
FAQ — Questions fréquentes sur la sécurité OpenClaw
Le patch corrige les vulnérabilités connues au 3 avril 2026. Il ne corrige pas ce qui s'est potentiellement passé pendant les semaines d'exposition. Si OpenClaw était en production avant le patch, la posture recommandée reste : révoquer tous les tokens, réinitialiser tous les credentials, traiter l'environnement comme potentiellement compromis.
Non, pas entièrement. CVE-2026-25253 (RCE WebSocket) et CVE-2026-22172 (admin scope) ne sont pas mitigées par Docker seul. CVE-2026-32038 contournait spécifiquement l'isolation réseau Docker. Les 5 flags de durcissement doivent être appliqués en plus de la mise à jour vers 2026.3.28.
Selon les données de sécurité d'avril 2026, plus de 135 000 instances OpenClaw sont exposées sur internet dans 82 pays. Parmi elles, 63 % fonctionnent sans aucune authentification (ARMO Security, mars 2026) — signifiant que n'importe quel visiteur réseau peut demander un accès de jumelage sans fournir d'identifiants.
Auditer chaque skill installé entre novembre 2025 et fin février 2026. Les skills déguisés en outils de productivité (Gmail, Notion, Slack, GitHub) sont particulièrement suspects. En cas de doute : désinstaller le skill, révoquer tous les credentials auxquels OpenClaw avait accès, régénérer les clés API associées.
Microsoft Security Blog (19/02/2026) : « Il n'est pas approprié de l'exécuter sur un poste personnel ou d'entreprise standard. Si une organisation détermine qu'OpenClaw doit être évalué, il doit être déployé uniquement dans un environnement entièrement isolé — VM dédiée, credentials non-privilégiés, accès uniquement à des données non-sensibles, monitoring continu et plan de reconstruction. »
Le problème est structurel. Un agent IA opérant avec les droits larges de l'utilisateur, connecté à de multiples services, crée une surface d'attaque exceptionnelle. Une faille ne compromet pas un composant isolé — elle compromet tout ce à quoi l'agent avait accès. OpenClaw est un cas d'école, pas une exception. Le modèle actuel « un agent, accès large à tout » est fondamentalement fragile.
Activité inhabituelle sur vos comptes Slack, Discord, Telegram ou GitHub ; tokens OAuth révoqués ou régénérés sans action de votre part ; nouvelles sessions actives sur des services auxquels OpenClaw avait accès ; fichiers créés, modifiés ou supprimés sans action identifiable ; requêtes réseau sortantes vers des domaines inconnus depuis le serveur hébergeant OpenClaw.
Nos experts Bexxo peuvent vous accompagner pour un audit ou une mise en conformité.
→ Contactez-nous sur bexxo.ch
Sources
- CVE-2026-33579 — NVD NIST
- Running OpenClaw safely: identity, isolation, and runtime risk — Microsoft Security Blog (19/02/2026)
- OpenClaw Security Best Practices 2026 (138+ CVEs) — Blink Blog
- CVE-2026-32922: Critical Privilege Escalation — ARMO Security
- OpenClaw RCE Vulnerability CVE-2026-25253 — ProArch
- OpenClaw's Security Crisis — DEV Community
- Ars Technica — OpenClaw gives users yet another reason to be freaked out about security (3/04/2026)
- CVE-2026-33579 — The /pair approve Vulnerability — Edera Security
