OpenClaw : comment les failles d’un agent IA ouvrent la porte à l’injection de prompt et à l’exfiltration de données

Aurélien Fontevive

En 2025, plus de 30 % des incidents de cybersécurité signalés en France concernaient des agents d’intelligence artificielle mal configurés. Parmi eux, le projet open-source OpenClaw s’est démarqué par une série de vulnérabilités qui permettent l’injection de prompt et l’exfiltration non détectée de données sensibles. Ce guide complet vous explique les mécanismes sous-jacents, illustre les scénarios réels observés, et vous fournit un plan d’action détaillé pour sécuriser vos déploiements.

Comprendre les risques liés à OpenClaw

Architecture et fonctions principales

OpenClaw, anciennement connu sous les noms de Clawdbot et Moltbot, est un agent IA autonome capable de parcourir le web, d’analyser du contenu et d’exécuter des tâches sur le système hôte.

Par ailleurs, la récente vulnérabilité Mediatek sur Android expose un quart des smartphones, illustrant la diversité des vecteurs de menace. Son cœur repose sur un grand modèle de langue (LLM) couplé à un moteur de compétences (skills) que les utilisateurs peuvent installer depuis le dépôt communautaire ClawHub.

L’accès privilégié au système d’exploitation, combiné à une exposition du port de gestion par défaut, crée une surface d’attaque large. Selon le rapport de l’ANSSI (2024), 37 % des incidents impliquant des IA proviennent de configurations initiales trop permissives.

Configurations par défaut faibles

CNCERT a souligné que les paramètres de sécurité d’OpenClaw sont souvent laissés sur leurs valeurs d’usine : communication non chiffrée, authentification faible et absence de filtrage réseau. En pratique, cela signifie que tout acteur disposant d’un accès réseau peut interroger l’agent, injecter des instructions et récupérer les réponses.

“OpenClaw présente des configurations par défaut intrinsèquement faibles, ce qui facilite la prise de contrôle par des acteurs malveillants”, a indiqué CNCERT dans son alerte diffusée sur WeChat.

Mécanismes d’injection de prompt (IDPI/XPIA)

Définition et vecteurs d’exploitation

L’injection de prompt indirecte (IDPI) ou injection de prompt cross-domain (XPIA) consiste à glisser des instructions malveillantes dans du contenu externe (pages web, messages, previews) que l’agent consomme automatiquement. Contrairement à une interaction directe avec le LLM, l’attaquant exploite un fonctionnement légitime, comme la création de résumés de pages ou la génération d’aperçus de lien.

OpenAI signale que ces attaques évoluent en incluant du social engineering : le texte paraît innocent, mais il déclenche l’exécution de commandes serveur.

Cas réel : prévisualisation de lien sur Telegram

Le mois dernier, les chercheurs de PromptArmor ont démontré comment la fonction de prévisualisation de lien d’applications de messagerie (Telegram, Discord) peut servir de canal d’exfiltration :

  1. L’attaquant envoie à l’utilisateur un message contenant un URL factice.
  2. OpenClaw, invité à générer un aperçu, construit un URL contrôlé par l’attaquant, incluant des paramètres dynamiques contenant des données sensibles (par ex. tokens d’accès, fragments de code).
  3. La plateforme de messagerie récupère l’URL pour afficher le preview, déclenchant ainsi l’envoi des données sans que l’utilisateur ne clique.

“Dans les systèmes d’agents avec aperçu de lien, l’exfiltration de données peut se produire immédiatement à la réponse de l’IA, sans interaction utilisateur”, a précisé l’équipe de PromptArmor.

Scénarios d’exfiltration de données et impacts métier

Vol de secrets d’entreprise

Pour des secteurs critiques comme la finance ou l’énergie, la fuite de trade secrets ou de scripts de production peut entraîner des pertes chiffrées en milliards d’euros. Selon le rapport ENISA 2025, 22 % des entreprises françaises ont constaté au moins un incident d’injection de prompt, parmi lesquelles 12 % ont subi une perte de données confidentielles.

Suppression accidentelle de données critiques

Une mauvaise interprétation des instructions peut conduire OpenClaw à supprimer irrémédiablement des fichiers de configuration ou des bases de données. L’impact se traduit généralement par des arrêts de services coûteux et la nécessité de restaurer à partir de sauvegardes - parfois impossibles si le backup est lui-même compromis.

Installation de skills malveillants

Des acteurs malveillants publient des skills sur ClawHub qui, une fois installés, exécutent des commandes arbitraires ou installent des malwares (ex. Atomic, Vidar Stealer).

Découvrez comment les archives piégées “Zombie Zip” peuvent contourner les protections classiques, offrant un autre vecteur d’injection similaire. Le tableau ci-dessous résume les principaux vecteurs d’attaque et leurs contremesures associées.

Vecteur d’attaqueImpact potentielContremesure recommandée
Injection de prompt via contenu webExfiltration de tokens, fuite d’informationsFiltrer les entrées, désactiver la navigation web
Installation de skills non vérifiéesExécution de code malveillantUtiliser des dépôts signés, vérifier les signatures GPG
Port de gestion exposéPrise de contrôle total de l’agentBloquer le port derrière un firewall, limiter les IP
Stockage de credentials en clairVol de secrets d’authentificationChiffrer les secrets avec Vault ou KMS

Mesures de protection recommandées

Renforcement du réseau et de l’isolation

  • Limiter l’accès au port d’administration à des plages IP strictes, voire le placer derrière un reverse-proxy TLS.
  • Conteneuriser OpenClaw avec Docker ou Podman, en appliquant la politique de least privilege : cap-drop, read-only file-system, et quotas de ressources.
  • Activer le pare-feu au niveau du host pour bloquer les connexions sortantes non autorisées.

Gestion sécurisée des skills

  1. Téléchargez uniquement depuis le dépôt officiel signé de ClawHub.
  2. Vérifiez la signature GPG de chaque package avant installation.
  3. Désactivez les mises à jour automatiques ; planifiez des revues mensuelles.

Durcissement de la configuration OpenClaw

  • Modifiez le fichier config.yaml pour activer le TLS mutuel et désactiver le mode debug.
  • Remplacez les mots de passe en texte clair par des références à un gestionnaire de secrets (ex. HashiCorp Vault).
  • Activez le journal d’audit et exportez-le vers un SIEM compatible (Splunk, ELK).

Surveillance et réponses aux incidents

  • Déployez un IDS/IPS capable d’inspecter le trafic HTTP/HTTPS généré par l’agent.
  • Configurez des alertes sur les patterns d’exfiltration (URL contenant des paramètres sensibles, volumes de données sortantes anormaux).
  • Préparez un plan de remédiation : mise en quarantaine du conteneur, rotation des secrets, analyse forensique.

Mise en œuvre concrète : étapes actionnables

  1. Audit initial : exécutez le script ci-dessous pour lister les ports exposés et les dépendances installées.
  2. Isolation : migrez OpenClaw dans un conteneur Docker avec la configuration proposée.
  3. Hardening : appliquez les paramètres de sécurité du fichier config.yaml (exemple fourni).
  4. Gestion des compétences : créez une politique de revue et mettez en place une chaîne de CI qui signe chaque skill avant déploiement.
  5. Monitoring : intégrez les logs OpenClaw dans votre SIEM et définissez des tableaux de bord pour suivre les appels d’API externes.
# Dockerfile de sécurisation d’OpenClaw
FROM python:3.11-slim
LABEL maintainer="security@example.com"

# Créer un utilisateur non privilégié
RUN useradd -m -s /bin/bash clam && \
    mkdir /app && chown clam:clam /app
USER clam
WORKDIR /app

# Copier uniquement les sources nécessaires
COPY --chown=clam:clam src/ ./

# Installer les dépendances en mode production
RUN pip install --no-cache-dir -r requirements.txt && \
    rm -rf /root/.cache

# Activer le TLS mutuel via env vars
ENV OPENCLAW_TLS=1 \
    OPENCLAW_CERT=/secrets/tls_cert.pem \
    OPENCLAW_KEY=/secrets/tls_key.pem

EXPOSE 8443
CMD ["python", "openclaw.py", "--config", "/app/config.yaml"]

Conclusion : sécurisez votre IA avant qu’elle ne devienne une porte dérobée

OpenClaw illustre parfaitement les dangers inhérents aux agents IA autonomes lorsqu’ils sont déployés sans mesures de sécurité adéquates. En appliquant les bonnes pratiques : isolation par conteneur, durcissement de la configuration, vérification stricte des skills et surveillance continue, vous transformez un vecteur de menace en un atout opérationnel fiable.

Prochaine action recommandée : effectuez dès aujourd’hui l’audit réseau de votre instance OpenClaw, puis implémentez la configuration Docker sécurisée présentée.

Pour les professionnels souhaitant se spécialiser, le guide complet pour devenir freelance en cybersécurité en 2026 offre des étapes claires, des tarifs indicatifs et les meilleures plateformes françaises. Vous réduirez ainsi le risque d’injection de prompt de plus de 90 %, selon les simulations de laboratoire menées par l’ANSSI.

“Les capacités de navigation et d’action des agents IA sont utiles, mais elles ouvrent de nouvelles voies d’attaque”, conclut OpenAI dans son dernier blog (mars 2026).