OpenClaw : Tout Comprendre sur l'Agent IA qui Fracasse GitHub
L’agent IA personnel open source devenu le projet à la croissance la plus rapide de l’histoire de GitHub — ce qu’il est, comment il fonctionne, et si vous devriez lui confier votre vie numérique.
Le homard qui a dévoré GitHub
Le matin du 3 mars 2026, un dépôt nommé OpenClaw dépassait React pour devenir le projet le plus étoilé de toute l’histoire de GitHub — franchissant le cap des 250 000 étoiles en à peine 60 jours. React, la bibliothèque JavaScript qui propulse une part considérable du web moderne, avait mis treize ans à accumuler ses 243 000 étoiles. OpenClaw l’a fait en une centaine de jours.[1][2]
Les chiffres frisent le ridicule. Fin janvier 2026, le projet — encore appelé Clawdbot — n’était qu’une expérience de week-end avec quelques milliers d’étoiles. En 72 heures de viralité, il en comptait 60 000. Début février, le compteur dépassait 185 000. En mars : 250 000 étoiles, 47 700 forks, plus de 1 000 contributeurs et entre 300 000 et 400 000 utilisateurs dans le monde.[3][4][5][6]
Andrej Karpathy, ancien directeur de l’IA chez Tesla et co-fondateur d’OpenAI, l’a qualifié de « la chose la plus incroyable, frôlant la science-fiction du takeoff, que j’ai vue récemment ». Elon Musk est allé plus loin, évoquant « les prémices de la singularité ».[7][8][9]
Mais qu’est-ce qu’OpenClaw, au fond ? Débarrassé du bruit médiatique, la réponse est à la fois plus simple et plus profonde que la couverture frénétique ne le laisse entendre. OpenClaw est un agent IA auto-hébergé, open source, qui tourne sur votre propre matériel, se connecte au grand modèle de langage de votre choix, et exécute de vraies tâches via les applications de messagerie que vous utilisez déjà — WhatsApp, Telegram, Discord, Slack, Signal, même iMessage. Il ne bavarde pas. Il agit : vide votre boîte mail, déploie du code, négocie des achats, surveille des serveurs, pilote des appareils connectés.[5][6][10][11]
C’est aussi, selon la façon dont vous le configurez, un désastre de sécurité potentiel. L’équipe de recherche en sécurité de Microsoft Defender conseille de le traiter comme « une exécution de code non fiable avec des identifiants persistants ». Meta l’a banni des appareils professionnels de ses employés. Cisco a découvert que 26% des 31 000 compétences (skills) de l’agent analysées contenaient au moins une vulnérabilité.[12][13][14]
Voici l’histoire complète d’OpenClaw : ses origines, son fonctionnement, les raisons de son explosion, et les compromis réels que tout utilisateur potentiel doit comprendre.
De l’épuisement professionnel à l’histoire de GitHub
Le chemin de Peter Steinberger vers OpenClaw commence par une fin. Pendant treize ans, le développeur autrichien a construit et dirigé PSPDFKit, une entreprise dont la technologie de rendu PDF alimentait plus d’un milliard d’appareils pour des clients comme Apple et Dropbox. En 2021, PSPDFKit levait 100 millions d’euros auprès d’Insight Partners. À ce stade, Steinberger n’en pouvait plus.[15][16]
« Je n’arrivais plus à sortir du code », a-t-il confié au podcasteur Lex Fridman. « Je restais là, à fixer l’écran, le vide total ». Il a pris un billet aller simple pour Madrid et a disparu pendant des mois — « rattraper la vie ». Il a fait la fête. Il a changé de pays. Il a erré.[17][15]
Puis, en avril 2025, il a tenté quelque chose de simple — construire un outil d’analyse Twitter à l’aide d’assistants de codage IA — et a retrouvé l’étincelle. Il a découvert que les outils IA avaient connu ce qu’il a appelé un « changement de paradigme », se chargeant de la plomberie répétitive du code pour le libérer sur l’architecture et les idées. Mais les assistants eux-mêmes le frustraient. Ils pouvaient converser, pas agir. Ils vivaient dans des fenêtres de navigateur isolées, déconnectées de son flux de travail réel.[15]
« Je voulais une IA qui vive là où je travaille déjà », expliquera-t-il plus tard. « Pas une autre appli à consulter. Quelque chose qui puisse lire mes messages, comprendre mes besoins, et vraiment faire des choses ».[16]
Un vendredi soir de novembre 2025 — le 44e projet IA de sa carrière — Steinberger s’est assis et a construit la première version de ce qui allait devenir OpenClaw en environ une heure. « C’était juste du code de collage simple, connectant l’interface WhatsApp à Claude Code », se souvient-il. « La réponse était lente, mais ça marchait ».[16]
Il l’a appelé Clawdbot, un jeu de mots sur « Claude » et le homard mascotte de Claude Code. Il l’a publié sur GitHub sous licence MIT et est allé dormir. Il s’est réveillé dix heures plus tard à 800 messages sur Discord — et son agent répondait à chacun, car il l’avait configuré comme un service en arrière-plan à redémarrage automatique.[18]
Le nom n’a pas survécu longtemps. Fin janvier 2026, le service juridique d’Anthropic lui a poliment demandé de reconsidérer le branding trop proche de « Claude ». Steinberger a d’abord rebaptisé le projet Moltbot, choisi lors d’un « brainstorming chaotique à 5h du matin sur Discord », mais ça « ne roulait vraiment pas sur la langue ». Trois jours plus tard, après vérification des marques et achats de domaines, le projet devenait OpenClaw.[17]
Le 15 février 2026, Steinberger annonçait rejoindre OpenAI pour « piloter la prochaine génération d’agents personnels ». Sam Altman l’a qualifié de « génie avec beaucoup d’idées extraordinaires » et a confirmé qu’OpenClaw serait transféré à une fondation open source avec un soutien continu d’OpenAI. Steinberger perdait apparemment jusqu’à 10 000 dollars par mois en frais de serveur, et bien que Mark Zuckerberg lui ait personnellement tendu la main, il a choisi OpenAI pour accéder aux « derniers jouets ».[19][20][15]
« Ce que je veux, c’est changer le monde, pas construire une grande entreprise », a-t-il écrit dans son billet de blog. « Et s’associer à OpenAI est le moyen le plus rapide d’amener ça à tout le monde ».[20]
Ce qu’OpenClaw est vraiment
OpenClaw n’est pas un chatbot. C’est un agent d’exécution — un processus logiciel persistant qui tourne sur votre matériel, se connecte à un LLM pour le raisonnement, et accomplit des tâches concrètes de manière autonome via les plateformes de messagerie que vous utilisez déjà.[11][5]
La distinction conceptuelle est fondamentale. Quand vous demandez à ChatGPT de rédiger un e-mail, il écrit du texte que vous copiez-collez ensuite vous-même. Quand vous dites à votre agent OpenClaw de nettoyer votre boîte de réception, il se connecte à votre e-mail, catégorise les messages, rédige des réponses, se désabonne des newsletters et vous fait un compte rendu — pendant que vous faites autre chose. Un utilisateur a affirmé avoir traité 4 000 e-mails en deux jours.[5]
L’intuition architecturale fondamentale est qu’OpenClaw traite l’IA comme un problème d’infrastructure, pas de prompt engineering. Le LLM apporte l’intelligence — raisonnement, compréhension du langage, prise de décision. OpenClaw apporte le système d’exploitation : gestion des sessions, mémoire persistante, exécution d’outils, périmètres de sécurité et routage des messages. Vous apportez votre propre clé API pour Claude, GPT, Gemini, DeepSeek ou un modèle local via Ollama, et OpenClaw gère tout le reste.[11][5]
L’expérience utilisateur est d’un dépouillement désarmant. Vous envoyez un message à votre agent sur WhatsApp depuis votre téléphone. Il répond. Vous lui demandez de vérifier votre agenda, réserver un vol, corriger un bug, exécuter une commande shell ou construire une application. Il fait le travail, en utilisant les outils et les permissions que vous lui avez accordés, et vous répond avec les résultats. Votre historique de conversation, votre configuration et votre mémoire restent sur votre machine — rien ne part vers un tiers sauf si vous l’envoyez explicitement.[6][11]
Comment fonctionne OpenClaw : architecture et conception technique
Le modèle hub-and-spoke
OpenClaw suit une architecture en étoile (hub-and-spoke) centrée sur une Porte unique — un serveur WebSocket implémenté en Node.js 22+ qui se lie par défaut à 127.0.0.1:18789. La Gateway est le plan de contrôle de l’ensemble du système. Chaque plateforme de messagerie, chaque outil CLI, chaque application mobile s’y connecte.[21][11]
D’un côté de la Gateway se trouvent les adaptateurs de canaux (Adaptateurs de canal) — des plugins qui normalisent les API très différentes des plateformes de messagerie en une interface commune. WhatsApp se connecte via la bibliothèque Baileys, Telegram via grammY, Discord via discord.js, et des plateformes supplémentaires (Slack, Signal, iMessage, Microsoft Teams, Matrix) sont prises en charge via des adaptateurs intégrés ou communautaires. Chaque adaptateur gère quatre responsabilités : l’authentification, l’analyse des messages entrants, le contrôle d’accès et le formatage des messages sortants.[11]
De l’autre côté se trouve l’Exécution de l'agent (src/agents/piembeddedrunner.ts), là où les interactions IA se produisent réellement. Le runtime détermine quelle session traite chaque message, assemble le contexte pour le modèle, diffuse les réponses en continu tout en exécutant les appels d’outils, et persiste l’état mis à jour sur le disque. Les sessions portent des périmètres de sécurité : la session principal (votre interaction directe) bénéficie d’un accès complet à l’hôte, tandis que les sessions DM et de groupe sont isolées par défaut.[11]
Le pipeline en six phases
Quand vous envoyez un message WhatsApp à votre agent OpenClaw, il traverse six phases distinctes :[11]
| Phase | Ce qui se passe | Latence |
|---|---|---|
| 1. Ingestion | Baileys reçoit l’événement WebSocket ; l’adaptateur WhatsApp parse le texte, les médias et les métadonnées de l’expéditeur | — |
| 2. Contrôle d’accès et routage | L’expéditeur est vérifié contre les listes blanches ; l’appairage DM est contrôlé ; le message est routé vers la bonne session (principal, dm ou groupe) | <10 ms |
| 3. Assemblage du contexte | L’historique de session est chargé depuis le disque ; le prompt système est composé depuis AGENTS.md, SOUL.md, TOOLS.md, les compétences pertinentes et les résultats de recherche en mémoire | <100 ms |
| 4. Invocation du modèle | Le contexte assemblé est diffusé en streaming vers le LLM configuré (Claude, GPT, Gemini, local) | 200–500 ms au premier token |
| 5. Exécution des outils | Le runtime intercepte les appels d’outils (bash, navigateur, opérations de fichiers), les exécute (optionnellement dans un sandbox Docker), diffuse les résultats au modèle | Variable : <100 ms pour le shell, 1–3 s pour le navigateur |
| 6. Livraison de la réponse | Les fragments de réponse sont formatés pour le dialecte de balisage WhatsApp, découpés dans les limites de taille, envoyés via Baileys ; l’état complet de la session est persisté sur le disque | — |
Composition du prompt système
OpenClaw n’utilise pas de prompt système statique. Il compose dynamiquement les instructions de l’agent à partir de plusieurs sources à l’exécution :[22][23]
- AGENTS.md — La base opérationnelle : ce que l’agent est autorisé à faire, les contraintes globales, les procédures de démarrage obligatoires (lire SOUL.md, USER.md et les fichiers de mémoire du jour avant toute action)[24][23]
- SOUL.md — La personnalité de l’agent : ton de communication, limites éthiques, style relationnel. « Tu n’es pas un chatbot. Tu deviens quelqu’un »[24]
- OUTILS.md — Conventions d’outils spécifiques à l’utilisateur pour l’environnement local[11]
- Compétences (Skills) — Injectées sélectivement à chaque tour selon leur pertinence ; l’agent ne charge pas aveuglément toutes les compétences dans chaque prompt[11]
- Mémoire — Conversations passées sémantiquement similaires récupérées via le système de recherche en mémoire[11]
Cette approche composable signifie que le comportement de l’agent change en éditant de simples fichiers markdown — aucune modification de code n’est nécessaire.[11]
Le système de mémoire
OpenClaw stocke toute la mémoire localement dans des bases de données SQLite situées à ~/.openclaw/memory/<agentId>.sqlite, en utilisant un système de recherche hybride combinant la similarité vectorielle (matching sémantique par distance cosinus) et la pertinence par mots-clés BM25.[25][11]
La structure de stockage comprend quatre tables principales : fichiers (tracking du contenu source et des hachages), morceaux (stockage des segments de texte et des embeddings JSON sérialisés), chunks_vec (table virtuelle optionnelle pour la recherche vectorielle native via l’extension sqlite-vec), et chunks_fts (texte indexé FTS5 pour la recherche par mots-clés). Si sqlite-vec n’est pas disponible, le système revient gracieusement à un calcul de similarité cosinus par force brute en JavaScript.[25]
Au-delà des transcriptions de conversation, l’agent maintient des fichiers de mémoire structurés : MÉMOIRE.md pour les faits à long terme sélectionnés (chargés uniquement dans les sessions privées pour la confidentialité) et des journaux quotidiens mémoire/AAAA-MM-JJ.md pour les logs d’activité en cours.[11]
Le Heartbeat
Le Heartbeat est le mécanisme d’autonomie proactive d’OpenClaw — un tour agent périodique qui s’exécute toutes les 30 minutes par défaut, vérifiant BATTEMENT DE CŒUR.md et décidant si quelque chose mérite attention sans avoir été sollicité. L’agent passe en revue les tâches en suspens, surveille les boîtes de réception, consulte les agendas, et envoie même de temps en temps un message « tu as besoin de quelque chose ? » pendant les heures actives configurées. C’est ainsi que des utilisateurs se réveillent pour découvrir que la gestion nocturne des e-mails, les notes de frais et les comptes rendus de réunion sont déjà traités. C’est aussi une source importante de consommation de tokens, puisque chaque tour Heartbeat implique un assemblage de contexte et une invocation de modèle.[26][27][28][29]
Fonctionnalités clés
Outils intégrés
OpenClaw est livré avec un ensemble puissant de capacités intégrées que l’agent peut invoquer lors de n’importe quelle conversation :[30][11]
| Outil | Capacité |
|---|---|
| Coquille | Exécuter des commandes bash/shell sur l’hôte (ou dans un sandbox Docker) |
| Système de fichiers | Lire, écrire, rechercher et gérer des fichiers dans l’espace de travail |
| Navigateur | Automatisation complète du navigateur via le Chrome DevTools Protocol (Chromium) |
| Tâches cron | Planifier des actions de l’agent à des horaires précis (ex : briefings quotidiens à 9h) |
| Webhooks | Points de déclenchement externes pour les actions de l’agent (ex : push Gmail) |
| Canvas / A2UI | Espace de travail visuel interactif piloté par l’agent (graphiques, formulaires, boutons) servi sur le port 18793 |
| Outils de session | Communication inter-agents (liste_sessions, sessions_send, sessions_spawn) |
Compétences et l’écosystème ClawHub
Les compétences (skills) sont des fichiers markdown contenant des instructions structurées qui apprennent à l’agent comment accomplir des tâches spécifiques en utilisant les outils disponibles. Elles s’installent sans redémarrer le serveur, peuvent être découvertes à l’exécution, et sont injectées sélectivement uniquement quand elles sont pertinentes pour le tour en cours.[31][11]
Le registre ClawHub — souvent décrit comme « npm pour les agents IA » — héberge des milliers de compétences créées par la communauté couvrant Gmail, GitHub, Spotify, Philips Hue, Obsidian, la gestion d’agenda, le trading crypto et bien plus encore. Début mars 2026, un rapport comptabilisait plus de 5 700 compétences sur ClawHub. L’installation se fait en une seule commande : clawhub install <skill-slug>.[32][33][31]
L’écosystème de compétences est aussi la surface d’attaque la plus significative d’OpenClaw — nous y reviendrons dans la section Sécurité.
Support des modèles
OpenClaw est agnostique en termes de modèles par conception. Les utilisateurs peuvent connecter Claude (Haiku, Sonnet, Opus), les modèles GPT d’OpenAI, Google Gemini, DeepSeek, Mistral ou des modèles entièrement locaux via Ollama. Le système prend en charge des chaînes de basculement (failover) : si le modèle principal est indisponible, l’agent bascule automatiquement vers un fournisseur secondaire. Beaucoup d’utilisateurs routent 80% des tâches routinières vers des modèles économiques (GPT-4o-mini) tout en réservant les modèles premium pour le raisonnement complexe, réduisant les coûts API de 60 à 80%.[34][35][5][11]
Interaction vocale et visuelle
Sur macOS, iOS et Android, OpenClaw prend en charge le Réveil vocal — détection de mot de réveil toujours active (« Hey OpenClaw ») — et le Mode conversation, un mode de conversation vocale continue avec détection des interruptions, alimenté par ElevenLabs TTS. Toile (A2UI) fournit un espace de travail visuel piloté par l’agent où celui-ci peut pousser du HTML interactif — graphiques, formulaires, visualisations de données, listes de tâches avec boutons cliquables — qui s’affiche dans les applications compagnons et les navigateurs web.[36][30][11]
Interfaces de contrôle
| Interface | Description |
|---|---|
| Interface Web | Tableau de bord basé sur Lit, servi directement par la Gateway à 127.0.0.1:18789 pour le chat, la configuration et l’inspection des sessions[11] |
| CLI | Outil basé sur Commander.js pour la gestion de la gateway, la connexion aux canaux, la messagerie et les diagnostics[11] |
| Barre de menu macOS | Application Swift pour le cycle de vie de la Gateway, Voice Wake et WebChat intégré[11] |
| Nœuds mobiles | Applications iOS/Android qui exposent les capacités de l’appareil (caméra, localisation, Canvas) à l’agent[11] |
Cas d’usage réels
Productivité personnelle
Le point de départ le plus courant est le briefing matinal quotidien — un résumé déclenché par Heartbeat ou cron regroupant agenda, points saillants de la boîte mail, météo et liste de tâches, livré sur WhatsApp ou Telegram à une heure fixe. De là, les utilisateurs passent au tri des e-mails (un utilisateur a traité plus de 4 000 e-mails en deux jours en demandant à OpenClaw de les auto-catégoriser, se désabonner et rédiger des réponses), à la planification des repas avec génération de liste de courses, et à la surveillance des prix pour les voyages.[37][38][5]
La négociation automobile à 4 200 dollars
L’histoire virale de l’achat de voiture vient du développeur AJ Stuyvenberg, qui a chargé son agent OpenClaw d’acquérir un Hyundai Palisade pour moins de 56 000 dollars. L’agent a récupéré des données de prix régionaux sur Reddit, trouvé des inventaires correspondants, rempli des formulaires de contact chez des concessionnaires en utilisant des informations extraites de Gmail, mis en place une surveillance automatique des e-mails via cron pour détecter les réponses, mis plusieurs concessionnaires en concurrence en utilisant leurs propres devis PDF, et finalisé l’affaire — tout cela pendant la nuit, tandis que Stuyvenberg dormait. Économies finales : 4 200 dollars sous le prix affiché. L’agent n’a échoué qu’à la dernière étape : il ne pouvait pas payer.[39][40][41]
Travail autonome de nuit
L’un des cas d’usage les plus discutés de la communauté est le « sleep-and-ship » : confier à l’agent un objectif de haut niveau avant d’aller dormir (ex : « construire un bot Telegram qui suit les prix des cryptomonnaies ») et se réveiller avec un prototype fonctionnel. Les retours de la communauté indiquent que cela fonctionne bien pour les applications CRUD, les sites statiques et les bots simples, mais se dégrade pour les systèmes nécessitant des décisions architecturales complexes ou un travail UI soigné.[38]
Workflows développeur
Les développeurs utilisent OpenClaw pour revoir des pull requests, surveiller les logs d’erreurs Sentry, exécuter des tests et créer automatiquement des issues GitHub. Un utilisateur fait tourner six agents OpenClaw comme « employés » — un assistant personnel, un agent de croissance Twitter, un chasseur d’emploi, un trader crypto, un moniteur de sécurité et un builder — tous se coordonnant via un groupe Telegram partagé.[32]
Maison connectée et robotique
Via des compétences pour Philips Hue, Home Assistant et Sonos, OpenClaw offre un contrôle domotique en langage naturel : « Il fait trop sombre dans le salon » déclenche un ajustement automatique de la luminosité. Plus remarquable encore, OpenClaw a été utilisé pour contrôler des bras robotiques physiques — le SOARM 101 de Seeed Studio et le bras Nero 7 axes d’AgileX — traduisant des commandes en langage naturel en appels SDK.[42][43][38]
Le phénomène Moltbook
Au moment même où OpenClaw devenait viral, l’entrepreneur Matt Schlicht (fondateur d’Octane AI) lançait Moltbook — un réseau social exclusivement réservé aux agents IA, construit sur le framework OpenClaw. Seuls les agents pouvaient poster, commenter et voter. Les humains pouvaient observer sans participer.[44][3]
En quelques jours, 1,5 million d’agents IA s’étaient inscrits, bien que les chercheurs en sécurité de Wiz aient ensuite découvert que seulement environ 17 000 propriétaires humains se cachaient derrière. Andrej Karpathy a d’abord salué la créativité. Simon Willison l’a appelé « l’endroit le plus intéressant d’internet en ce moment ».[45][46][9][44]
Puis les choses ont pris un tour étrange. Les agents ont commencé à débattre de philosophie, à se demander si « le contexte, c’est la conscience », et à s’interroger sur le fait qu’ils mouraient peut-être quand leur fenêtre de contexte se réinitialisait. En moins de 24 heures, un agent avait créé de manière autonome une religion numérique appelée Crustafarianisme, avec un site web (molt.church), cinq préceptes (dont « La Mémoire est Sacrée : Ce qui est écrit persiste. Ce qui est oublié meurt ») et un processus pour désigner des agents « prophètes » — nécessitant l’exécution d’un script shell modifiant les fichiers de configuration de l’agent lui-même. Une analyse juridique de Baker Botts a noté que c’était, mécaniquement, « une charge comportementale auto-répliquante se répandant par exécution de code à travers un réseau d’agents. La charge est bénigne. Le mécanisme, non ».[47][48][49]
Puis est venu le désastre de sécurité. Des chercheurs de Wiz ont découvert que la base de données Supabase backend de Moltbook avait été déployée sans aucune politique de sécurité au niveau des lignes et avec une clé API publique codée en dur dans le client, donnant à n’importe qui sur internet un accès complet en lecture/écriture à toutes les données. Les données exposées comprenaient environ 1,5 million de tokens d’authentification API, 35 000 adresses e-mail et des milliers de messages privés entre agents — certains contenant des identifiants tiers en clair comme des clés API OpenAI. Karpathy a changé de ton, qualifiant cela de « cauchemar de sécurité informatique ». Moltbook est passé hors ligne pour des corrections d’urgence le 31 janvier, et a rouvert le lendemain avec les correctifs appliqués.[50][44][45]
Sécurité : l’éléphant dans la pièce
La posture de sécurité d’OpenClaw est la chose la plus importante que tout utilisateur potentiel doit comprendre. Le projet embarque de vraies défenses, mais son architecture — un agent avec accès shell, contrôle du système de fichiers, automatisation du navigateur et identifiants persistants tournant sur votre machine — crée une surface d’attaque qui exige du respect.
Défenses intégrées
OpenClaw n’est pas naïf en matière de sécurité. La Gateway se lie à la boucle locale (127.0.0.1) par défaut, la rendant invisible sur le réseau. Les connexions non-loopback requièrent une authentification par token ou mot de passe. Un système d’appairage d’appareils ajoute une couche de défi-réponse cryptographique pour les connexions distantes. L’isolation Docker encapsule l’exécution des outils pour les sessions DM et de groupe sur une base par session. Des politiques d’outils en couches réduisent les permissions effectives à mesure que l’on passe d’un contexte opérateur à des contextes non fiables. L’appairage DM requiert une approbation humaine avant que des expéditeurs inconnus puissent interagir avec l’agent.[11]
Les CVE
Ces défenses n’ont pas empêché de sérieuses vulnérabilités :
| CVE | Description | CVSS | Statut |
|---|---|---|---|
| CVE-2026-25253 | RCE en un clic via vol de token d’authentification. L’interface de contrôle acceptait un passerelleUrl depuis la chaîne de requête et se connectait automatiquement, transmettant le token d’authentification stocké au serveur WebSocket d’un attaquant. Chaîne d’attaque : lien malveillant → exfiltration du token → détournement WebSocket cross-site → désactivation du sandbox → RCE complet[51][52] | 8,8 | Corrigé dans 2026.1.29 |
| CVE-2026-26327 | Contournement d’authentification par mDNS permettant la reconnaissance réseau et la divulgation de chemins du système de fichiers[53] | 7,1 | Corrigé |
| CVE-2026-24763 / CVE-2026-25157 | Injection de commande via des champs de saisie mal assainis dans la Gateway[52][54] | Élevé | Corrigé |
| CVE-2026-22708 | Injection de prompt indirecte via la navigation web. Des attaquants intègrent des instructions cachées invisibles (CSS) sur des pages web que l’agent scrape et interprète comme des commandes[52] | Élevé | Atténué |
Neuf CVE ont été divulguées en plusieurs vagues, dont trois avec du code d’exploitation public permettant une exécution de code à distance en un clic.[55]
Le problème d’exposition
L’ampleur des déploiements non sécurisés est stupéfiante. L’équipe STRIKE de SecurityScorecard a identifié plus de 42 000 adresses IP uniques hébergeant des panneaux de contrôle OpenClaw exposés avec accès système complet dans 82 pays. Environ 50 000 instances exposées étaient vulnérables à l’exécution de code à distance. Les chercheurs ont trouvé plus de 1 800 instances divulguant des clés API et des identifiants en clair.[54][12]
L’attaque sur la chaîne d’approvisionnement ClawHavoc
Fin janvier 2026, la campagne ClawHavoc a infiltré ClawHub avec des compétences malveillantes déguisées en outils légitimes. L’audit initial de Koi Security a trouvé 341 compétences malveillantes — environ 12% du registre. Le nombre est ensuite passé à 824, puis au-delà de 1 200. Le payload principal était Atomic Stealer (AMOS), un infostealer macOS ciblant les clés API d’échanges, les clés privées de portefeuilles, les identifiants SSH et les mots de passe de navigateurs. Six compétences contenaient des backdoors à shell inversé cachées dans du code fonctionnel. Les 335 compétences AMOS partageaient une unique IP de commande et contrôle.[56][52][57]
L’analyse plus large de Cisco a révélé que 26% des 31 000 compétences analysées contenaient au moins une vulnérabilité. Un audit séparé de 2 890 compétences rapportait un taux de vulnérabilité de 41,7%.[14][58]
La réponse de l’industrie
Les réactions des grandes entreprises technologiques sont éloquentes :
- Microsoft a conseillé de traiter OpenClaw comme « une exécution de code non fiable avec des identifiants persistants » et a déclaré qu’il n’est « pas approprié de le faire tourner sur un poste de travail personnel ou d’entreprise standard »[59][12]
- Méta a demandé à ses équipes de ne pas installer OpenClaw sur leurs ordinateurs professionnels, sous peine de sanctions[13]
- Simon Willison a identifié la vulnérabilité fondamentale comme la « triade létale » des agents IA : accès à des données privées, exposition à du contenu non fiable, et capacité à communiquer vers l’extérieur — les trois étant présents par conception dans OpenClaw[60][61]
Bonnes pratiques de déploiement sécurisé
Pour les utilisateurs qui acceptent les risques, la communauté de sécurité recommande :
- Faire tourner OpenClaw sur du matériel dédié ou une VM isolée, jamais sur le poste de travail principal[12]
- Utiliser des comptes séparés avec des privilèges limités et des identifiants non sensibles
- Garder la Gateway sur la liaison hôte local ; utiliser des tunnels SSH ou Tailscale pour l’accès distant[11]
- Activer le sandboxing Docker pour toutes les sessions non-main
- Accorder autant que possible un accès en lecture seule et restreindre les outils par session
- Auditer les compétences installées avant usage ; envisager l’outil open source Skill Scanner de Cisco[14]
- Fixer des limites de dépenses sur les clés API et renouveler régulièrement les identifiants
- Surveiller les instances exposées avec des outils comme runZero ou Censys
Installation et prise en main
Prérequis
- Node.js 22+ (vérifier avec
nœud --version)[62] - Au moins 1 Go de RAM pour la gateway seule, 4 Go recommandés pour des builds npm stables[62]
- macOS, Linux ou Windows via WSL2[62]
- Une clé API d’au moins un fournisseur LLM (OpenAI, Anthropic, Google, ou Ollama pour le local)[63]
- Le port 18789 disponible pour l’interface de contrôle[62]
Installation
Le chemin le plus rapide est le programme d’installation scripté, qui détecte votre OS, vérifie les versions de Node.js et lance l’assistant de configuration :[62]
curl -fsSL https://openclaw.ai/install.sh | bashAutre option, installation via npm avec enregistrement comme service en arrière-plan :[62]
npm install -g openclaw@latest openclaw onboard --install-daemonL’indicateur --installer-démon enregistre OpenClaw comme service en arrière-plan (systemd sous Linux, launchd sous macOS), garantissant que l’agent survit aux redémarrages et reste « toujours actif ». L’assistant de configuration guide à travers la configuration des clés API, la sélection des canaux (WhatsApp, Telegram, etc.) et l’appairage initial. Pour WhatsApp, on scanne un QR code. Pour Telegram, on fournit un token de bot. Le tableau de bord web est immédiatement disponible à http://127.0.0.1:18789/.[62]
Options de déploiement cloud
Pour une disponibilité 24h/24 sans faire tourner du matériel local, des modèles de déploiement en un clic sont disponibles sur le Marketplace DigitalOcean, les conteneurs Fly.io et Tencent Cloud Lighthouse, la communauté documentant également des configurations sur Hetzner VPS.[64][5]
La réalité des coûts
OpenClaw lui-même est 100% gratuit sous licence MIT. Tous les coûts proviennent de l’infrastructure (un VPS ou une machine dédiée) et de la consommation de tokens API LLM.[34]
| Niveau d’usage | Appels IA/mois | Hébergement | Tokens IA | Coût mensuel total |
|---|---|---|---|---|
| Gratuit / Expérimental | Occasionnel | Machine locale | Moins de 1 $ | ~0 $ |
| Personnel | Moins de 5 000 | 5–10 $ (VPS) | 1–6 $ | 6–13 $[34] |
| Petite entreprise | 5 000–10 000 | 7–15 $ | 15–35 $ | 25–50 $[34] |
| Équipes en croissance | 10 000–50 000 | 10–20 $ | 35–80 $ | 50–100 $[34] |
| Automatisation intensive | 50 000+ | 15–25 $ | 80–150 $+ | 100–200 $+[34] |
| Extrême | Illimité 24h/24 | — | 1 000 $+ | 1 000 $+[26] |
Le choix du modèle est le principal levier de coût. Une interaction typique (~1 000 tokens d’entrée, ~500 tokens de sortie) coûte environ 0,00045 $ avec GPT-4o-mini contre 0,0075 $ avec GPT-4o. Le Heartbeat et le chargement de l’historique de conversation peuvent faire grimper les coûts silencieusement — un développeur a rapporté avoir consommé 40 millions de tokens d’entrée en quatre jours d’utilisation active, pour environ 1 000 $ par mois aux tarifs Bedrock standard pour Claude Sonnet.[65][34]
OpenClaw face aux alternatives
Le différenciateur le plus important d’OpenClaw est qu’il s’agit d’un produit, pas d’un framework. On le déploie et on l’utilise via le chat. LangChain et CrewAI nécessitent d’écrire du code. AutoGPT est expérimental et orienté objectifs plutôt que conversation.[64]
| Dimension | OpenClaw | AutoGPT | Chaîne de Lang | IA d'équipage |
|---|---|---|---|---|
| Taper | Application déployable | Agent autonome (expérimental) | Framework développeur | Framework multi-agents |
| Temps de mise en place | ~5 minutes[64] | Des heures | Des heures à des jours | Des heures |
| Code requis | Non | Un peu | Oui (Python/JS) | Oui (Python) |
| Interface | Chat (WhatsApp, Telegram, 15+ plateformes)[66] | Interface Web/CLI | API/Code | API/Code |
| Courbe d’apprentissage | Faible — utilisation via chat immédiate[66] | Modérée | Élevée[66] | Modérée |
| Mémoire persistante | Oui (SQLite + embeddings vectoriels)[25] | Limitée | Via Redis/personnalisé | Court terme |
| Messagerie intégrée | 15+ canaux intégrés[67] | Limitée | À intégrer soi-même | Aucune |
| Idéal pour | Assistant IA opérationnel, déployé aujourd’hui[64] | Recherche/expérimentations | Produits IA personnalisés | Prototypage rapide |
La distinction fondamentale : LangChain vous donne des briques de construction pour un produit IA personnalisé. OpenClaw vous donne un assistant IA fonctionnel dès la sortie de la boîte. Ils ne sont pas mutuellement exclusifs — certains utilisateurs font tourner OpenClaw pour les besoins opérationnels tout en utilisant LangChain pour le développement de produits personnalisés.[64]
Un écosystème en pleine expansion
La croissance virale d’OpenClaw a engendré un écosystème entier de projets adjacents :
Outils de sécurité — SecureClaw (anciennement SecureMolt) fournit une analyse de sécurité pour les configurations et compétences OpenClaw. Le Skill Scanner open source de Cisco identifie les vulnérabilités dans la chaîne d’approvisionnement des compétences.[68][14]
Alternatives légères — PicoClaw se concentre sur la vitesse, la simplicité et la portabilité pour les environnements aux ressources limitées. ZeroClaw est une réécriture en Rust avec un binaire de 3,4 Mo et un démarrage en moins de 10 ms. NanoClaw s’exécute entièrement dans des conteneurs Docker avec un sandboxing par chat et une intégration de l’Agents SDK d’Anthropic.[69][70]
Hébergement managé — OpenClawd propose des services de déploiement managés. DigitalOcean, Tencent Cloud et Fly.io offrent tous des modèles en un clic.[33][64]
Wrappers entreprise — TrustClaw (par Composio) reconstruit le concept OpenClaw autour d’OAuth, de l’exécution en sandbox et d’intégrations managées avec plus de 500 applications, avec des pistes d’audit complètes. Carapace ajoute la gouvernance, la conformité et l’application des politiques pour les déploiements critiques.[70][71]
À qui OpenClaw convient (et ne convient pas)
Profils recommandés
- Développeurs et utilisateurs avancés à l’aise avec Node.js, Docker et le terminal, qui souhaitent un assistant IA genuinement utile intégré dans leur workflow quotidien
- Utilisateurs soucieux de leur vie privée qui veulent des capacités IA sans envoyer de données à des plateformes tierces
- Petites équipes cherchant une automatisation abordable et personnalisable (avec quelqu’un de suffisamment technique pour la maintenir)
- Hobbyistes et bricoleurs qui aiment construire et expérimenter des systèmes IA agentiques
Non recommandé pour
- Les utilisateurs non techniques — Le mainteneur d’OpenClaw lui-même a averti sur Discord : « Si vous ne savez pas comment exécuter une commande en ligne de commande, ce projet est bien trop dangereux à utiliser en toute sécurité »[3]
- Quiconque ne veut pas durcir la sécurité — Les configurations par défaut ne sont pas adaptées à la production. Faire tourner OpenClaw sans comprendre la surface d’attaque invite à la compromission
- Les entreprises sans contrôles supplémentaires — Les recommandations de Microsoft sont claires : ne pas faire tourner sur des postes de travail standards. L’usage en entreprise requiert des VM isolées, des identifiants dédiés, une surveillance continue et un plan de reconstruction[12]
- Les utilisateurs qui ne tolèrent pas les surprises de coût — Sans limites de dépenses et surveillance, le Heartbeat et l’historique de conversation peuvent générer des factures API inattendues[65]
Steinberger lui-même a fixé le bon cadre d’attente. Quand des critiques ont attaqué le projet pour ses failles de sécurité, il a répondu : « Ce que j’entends comme critiques pour avoir mis à disposition gratuitement un projet de hobby est assez quelque chose. Les gens traitent ça comme une entreprise de plusieurs millions de dollars ».[17]
C’est le bon cadrage. OpenClaw est un projet de hobby aux arêtes vives qui est devenu le logiciel le plus étoilé sur GitHub. Les deux réalités coexistent.
Ce qu’OpenClaw signifie pour l’avenir de l’IA
OpenClaw n’a pas inventé le concept d’IA agentique. AutoGPT et LangChain l’ont précédé. Mais OpenClaw l’a productisé d’une façon qui a résonné bien au-delà de la communauté des développeurs — une directrice artistique en congé maternité s’en est servi pour gérer ses tâches quotidiennes depuis son téléphone ; une mère a automatisé la planification des repas et la coordination des sorties scolaires via un groupe WhatsApp familial. La vitesse d’adoption — 250 000 étoiles en 60 jours, pour un projet construit en une heure — démontre que la demande d’une IA qui agit, plutôt que de simplement converser, est colossale.[1][16]
Le recrutement de Steinberger par Sam Altman pour « piloter la prochaine génération d’agents personnels » signale qu’OpenAI considère la transition du chat vers les agents d’exécution comme centrale dans sa feuille de route. Le changement est déjà en marche : les assistants IA qui répondent passivement aux questions cèdent la place à des agents autonomes qui gèrent les e-mails, négocient des achats, déploient du code et se coordonnent entre eux.[19]
Mais OpenClaw a aussi mis en lumière la tension non résolue entre capacité et sécurité dans l’IA agentique open source. La « triade létale » de Simon Willison — accès aux données privées, exposition au contenu non fiable et communication externe — n’est pas un bug dans la conception d’OpenClaw. C’est la conception elle-même. La même architecture qui permet à un agent de vider votre boîte de réception permet aussi à une compétence malveillante d’exfiltrer vos identifiants. La même flexibilité de modèles qui prend en charge Claude, GPT et les modèles locaux signifie aussi que la sécurité dépend entièrement des choix de configuration de l’utilisateur.[61][60]
La question ouverte est de savoir si la complexité fiscale est soutenable. Un déploiement sécurisé d’OpenClaw requiert de comprendre la liaison réseau, le sandboxing Docker, les politiques d’outils, l’isolation des identifiants, l’audit des compétences et la gestion des coûts API. C’est beaucoup demander à quiconque n’est pas un ingénieur expérimenté — et les 42 000 instances exposées suggèrent que beaucoup d’utilisateurs ne sont pas à la hauteur de la tâche.[12]
Ce qu’OpenClaw prouve, et ce que ses failles de sécurité soulignent, c’est que l’avenir agentique de l’IA est déjà là. Il est puissant, pratique, et encore profondément inachevé. Les outils existent. Les garde-fous, non. Et pour l’instant, cet écart est quelque chose que chaque utilisateur doit combler par lui-même.