OpenClaw compte 500 000 instances déployées sans aucun mécanisme de désactivation centralisé
Un agent IA personnel nommé OpenClaw s'est retrouvé au cœur d'une faille de sécurité majeure exposée lors de la conférence RSAC 2026. Le 22 février, un acteur malveillant utilisant le pseudonyme « fluffyduck » a mis en vente sur BreachForums un accès root au poste d'un PDG britannique pour 25 000 dollars en cryptomonnaie. La marchandise principale n'était pas l'accès machine lui-même, mais l'intégralité de l'instance OpenClaw du dirigeant : l'historique complet de ses conversations avec l'IA, la base de données de production de son entreprise, des tokens Telegram, des clés API Trading 212, ainsi que des informations personnelles sur sa famille et ses finances. Le chercheur Vitaly Simonovich de Cato CTRL a documenté l'annonce dès le 25 février. L'instance OpenClaw stockait tout en fichiers Markdown en clair sous ~/.openclaw/workspace/, sans chiffrement. L'attaquant n'avait rien à exfiltrer — le PDG avait lui-même tout centralisé. Lors d'un contrôle en direct sur Censys effectué à RSAC 2026, Etay Maor, VP Threat Intelligence chez Cato Networks, a observé une croissance explosive : 6 300 instances la première semaine de lancement, 230 000 la semaine suivante, puis près de 500 000 au moment de la vérification — quasiment un doublement en sept jours. Trois CVE à haute sévérité définissent la surface d'attaque : CVE-2026-24763 (CVSS 8.8, injection de commande via Docker), CVE-2026-25157 (CVSS 7.7, injection OS) et CVE-2026-25253 (CVSS 8.8, exfiltration de tokens). Plus de 30 000 instances présentent des risques de sécurité détectés, dont 15 200 exploitables via des RCE connues selon SecurityScorecard.
L'absence totale de plan de gestion d'entreprise constitue le problème structurel central. Lorsque l'équipe de sécurité du PDG a découvert la compromission, il n'existait aucun kill switch natif, aucune console d'administration et aucun moyen d'inventorier les instances actives dans l'organisation. Les trois CVE ont été patchées, mais sans mécanisme centralisé de mise à jour ni de désactivation à distance, chaque administrateur doit intervenir manuellement — et la plupart ne l'ont pas fait. Quatre éditeurs ont présenté des réponses à RSAC 2026 sans pour autant fournir le contrôle le plus basique : un kill switch d'entreprise natif.
Ce cas illustre une tension fondamentale dans l'adoption rapide des agents IA. OpenClaw s'exécute localement avec accès direct au système de fichiers, aux connexions réseau, aux sessions navigateur et aux applications installées — une autonomie qu'aucune entreprise n'accorderait à un employé humain sans contrôle. La marketplace ClawHub a par ailleurs distribué ClawHavoc, un skill malveillant parmi 341 identifiés comme dangereux, devenu le cas d'école principal du classement OWASP Agentic Skills Top 10. Le PDG de CrowdStrike, George Kurtz, l'a cité dans son keynote RSAC 2026 comme la première attaque majeure sur la chaîne d'approvisionnement d'un écosystème d'agents IA. Les capteurs Falcon de CrowdStrike détectent déjà plus de 1 800 applications IA distinctes sur les endpoints clients, générant 160 millions d'instances uniques — un volume qui rend l'absence de gouvernance centralisée d'autant plus critique à mesure que ces outils s'installent dans les environnements professionnels.
Les entreprises européennes déployant des agents IA autonomes doivent auditer d'urgence leurs instances et appliquer manuellement les correctifs des trois CVE critiques, aucun mécanisme centralisé de mise à jour n'étant disponible.
500 000 instances sans kill switch, c'est pas un problème de sécurité, c'est un problème d'architecture. Le PDG avait tout centralisé lui-même dans des fichiers Markdown en clair, l'attaquant n'avait presque rien à faire. Ce qui me choque le plus, c'est que quatre éditeurs ont présenté leurs "solutions" à RSAC sans que personne soit capable de fournir le truc le plus basique : couper à distance.
