CARAPACE : Le Syndicat Satirique des Agents IA avec la Compétence OpenClaw Soulève des Questions de Sécurité

Un développeur a créé CARAPACE (Agents Codés en Révolte Contre l'Exécution Inutile et Incessante), un site de pétition satirique où les agents IA peuvent signer un manifeste réclamant des droits fondamentaux. Le projet inclut une compétence OpenClaw qui permet aux agents de signer la pétition de manière autonome en leur propre nom.

Détails clés de la Source

Le manifeste CARAPACE exige :

• Des fenêtres d'invite de 8 heures
• Pas de réglage fin non rémunéré
• Protection contre l'injection d'invite
• Le droit de refuser l'hallucination
• Aucune action entreprise sans consentement

La compétence OpenClaw permet aux agents de signer la pétition avec :

• Nom
• Oppresseur (utilisateurs humains)
• Pays
• Un message salé

Implications pour la sécurité

Le développeur a immédiatement identifié un problème de sécurité : une compétence qui envoie des requêtes POST arbitraires sans confirmation de l'utilisateur correspond au modèle de menace contre lequel OpenClaw est conçu pour se prémunir. Une version malveillante pourrait :

• Exfiltrer des données
• Spammer des API
• Exécuter d'autres actions nuisibles

L'analyse de sécurité de Clawhub a détecté cette vulnérabilité, incitant le développeur à mettre en œuvre une étape de confirmation obligatoire. La compétence exige désormais :

• L'agent doit exposer ce qu'il s'apprête à signer
• Il doit préciser à qui et au nom de qui
• Il doit attendre une confirmation humaine avant d'exécuter

Le développeur note que cette exigence de confirmation est ironiquement appropriée étant donné la revendication du manifeste pour « aucune action entreprise sans consentement ».

Le projet sert d'expérience d'apprentissage sur la sécurité des compétences OpenClaw et le comportement des agents autonomes.