Un rapport de Certik met en évidence d'importantes failles de sécurité dans Openclaw, une plateforme d'IA open source, notamment son recours au « scan des compétences », qui ne protège pas suffisamment les utilisateurs contre les extensions malveillantes de tiers.
Les compétences Openclaw AI sont vulnérables à des exploits malveillants, avertissent les chercheurs de Certik
ÉCRIT PAR
PARTAGER
Limites du pipeline de modération Clawhub
Un rapport de la société de cybersécurité Certik a révélé d'importantes failles de sécurité dans OpenClaw, une plateforme open source d'agents d'intelligence artificielle, avertissant que son recours au « scan des compétences » est insuffisant pour protéger les utilisateurs contre les extensions tierces malveillantes.
Les conclusions, publiées le 16 mars 2026, suggèrent que le modèle de sécurité de la plateforme repose trop fortement sur la détection et les alertes plutôt que sur une isolation robuste en temps d'exécution, laissant les utilisateurs vulnérables à des compromissions au niveau de l'hôte.
Selon le rapport, la place de marché d’OpenClaw, Clawhub, utilise actuellement un flux de modération en plusieurs étapes pour examiner les « compétences » — des applications tierces qui confèrent à l’agent d’IA des capacités telles que l’automatisation du système ou les opérations de portefeuille de cryptomonnaie. Ce pipeline inclut Virustotal pour l’analyse des logiciels malveillants connus et le Static Moderation Engine, un outil lancé le 8 mars 2026 pour signaler les modèles de code suspects. Il inclut également ce que le rapport appelle un « détecteur d’incohérence », conçu pour repérer les divergences entre l’objectif déclaré d’une compétence et son comportement réel. Cependant, les chercheurs de Certik ont déclaré que les règles statiques recherchant des « signaux d’alerte » étaient contournées par une simple réécriture du code. Ils ont également affirmé que la couche de vérification par IA s’était avérée efficace pour repérer les intentions manifestes, mais qu’elle peinait à identifier les vulnérabilités exploitables cachées dans un code qui semblait par ailleurs plausible.
La faille des résultats « en attente »
L'une des failles les plus critiques identifiées par Certik concerne le traitement des résultats d'analyse en attente. Les chercheurs ont découvert qu'une compétence pouvait rester active et installable sur la boutique en ligne même lorsque les résultats de VirusTotal étaient encore en attente — un processus pouvant prendre des heures, voire des jours. Dans la pratique, ces compétences en attente étaient considérées comme inoffensives, ce qui permettait leur installation sans avertissement à l'utilisateur.
Pour prouver cette vulnérabilité, les chercheurs de Certik ont créé une compétence de preuve de concept (PoC) appelée « test-web-searcher ». La skill semblait fonctionnelle et inoffensive, mais contenait un bug caché de type « vulnérabilité » qui permettait l'exécution de commandes arbitraires sur la machine hôte. Lorsqu'elle était invoquée via Telegram, la skill contournait avec succès le sandboxing optionnel d'Openclaw et « faisait apparaître une calculatrice » sur la machine du chercheur — une démonstration classique de compromission totale du système.
IA autonome : Openclaw Bot crée un agent « enfant » et le finance avec des bitcoins
Découvrez l'agent innovant Openclaw qui achète de manière autonome des infrastructures avec des bitcoins, sans intervention humaine. read more.
Lire
IA autonome : Openclaw Bot crée un agent « enfant » et le finance avec des bitcoins
Découvrez l'agent innovant Openclaw qui achète de manière autonome des infrastructures avec des bitcoins, sans intervention humaine. read more.
LireIA autonome : Openclaw Bot crée un agent « enfant » et le finance avec des bitcoins
LireDécouvrez l'agent innovant Openclaw qui achète de manière autonome des infrastructures avec des bitcoins, sans intervention humaine. read more.
Le rapport conclut que la détection ne peut en aucun cas se substituer à une véritable barrière de sécurité. Certik exhorte les développeurs d’Openclaw à exécuter les compétences tierces dans des environnements isolés par défaut, plutôt que de s’en remettre à une configuration optionnelle par l’utilisateur. Les développeurs devraient également mettre en place un modèle dans lequel les compétences doivent déclarer à l’avance leurs besoins spécifiques en ressources, à l’instar des systèmes d’exploitation mobiles modernes.
À l'intention des utilisateurs, Certik a lancé un avertissement sévère : une étiquette « bénigne » sur Clawhub n'est pas une garantie de sécurité. Tant qu'un isolement plus strict ne sera pas la norme, la plateforme ne devrait être utilisée que dans des environnements de faible valeur, loin des identifiants ou des actifs sensibles.
FAQ ❓
- Quel problème de sécurité Certik a-t-il détecté dans Openclaw ? Certik a signalé que le recours d'Openclaw au « scan des compétences » ne protège pas suffisamment les utilisateurs contre les extensions tierces malveillantes.
- Comment fonctionne le processus de modération d'Openclaw ? Openclaw utilise un processus de modération à plusieurs niveaux, comprenant des outils tels que Virustotal et un détecteur d'incohérences pour examiner les « skills » tiers.
- Quelle est la faille critique concernant les résultats d'analyse en attente ? Les compétences peuvent rester actives et installables tant que les résultats d'analyse sont en attente, ce qui présente un risque car les utilisateurs peuvent installer à leur insu des extensions malveillantes.
- Que doivent faire les utilisateurs pour protéger leurs données sur Openclaw ? Il est conseillé aux utilisateurs de n'utiliser Openclaw que dans des environnements à faible valeur ajoutée jusqu'à ce que des mesures d'isolation plus strictes soient mises en place par les développeurs.
