Outil de Pentest MCPwner AI Découvre Plusieurs Vulnérabilités 0-Day dans OpenClaw

✍️ OpenClawRadar📅 Publié: February 26, 2026🔗 Source
Outil de Pentest MCPwner AI Découvre Plusieurs Vulnérabilités 0-Day dans OpenClaw
Ad

Qu'est-ce que MCPwner

MCPwner est un serveur MCP (Model Context Protocol) qui permet à des agents d'IA de mener des tests de pénétration automatisés contre des cibles de sécurité. Le développeur l'a conçu pour orchestrer des modèles d'IA plus anciens comme GPT-4o et Claude 3.5 Sonnet, qui, lorsqu'ils sont correctement dirigés via MCPwner, peuvent découvrir des failles architecturales profondes que les outils d'analyse standard manquent.

Récentes découvertes sur OpenClaw

Lorsqu'il a été dirigé vers OpenClaw, MCPwner a identifié avec succès plusieurs vulnérabilités de type 0-day qui ont désormais reçu des avis officiels. Il ne s'agissait pas seulement de bogues mineurs, mais de problèmes de sécurité critiques :

  • Injection de variables d'environnement
  • Contournement de l'approbation automatique des permissions ACP
  • Divulgation d'informations via un oracle d'existence de fichiers
  • Contournement de safeBins en entrée standard uniquement

L'outil a trouvé des contournements logiques et des points d'injection que les outils d'analyse statique traditionnels ont complètement ignorés.

Ad

Approche technique

MCPwner démontre que les modèles d'IA de niveau intermédiaire et plus anciens, lorsqu'ils sont correctement orchestrés via ce serveur MCP, peuvent surpasser l'analyse statique traditionnelle pour la découverte de vulnérabilités. Le projet a déjà identifié plusieurs vulnérabilités et autres CVE au-delà des découvertes sur OpenClaw.

État du projet et contributions

Le projet est toujours en développement actif mais produit déjà des résultats. Le développeur recherche des contributeurs pour aider à affiner la logique d'analyse et élargir la boîte à outils. Les pull requests et les retours sont les bienvenus, en particulier de la part de ceux qui travaillent dans le domaine de l'IA offensive et souhaitent tester l'outil.

Dépôt GitHub : https://github.com/Pigyon/MCPwner

📖 Lire la source complète : r/openclaw

Ad

👀 See Also

Nullgaze : Scanner de sécurité assisté par l'IA et open source publié
Security

Nullgaze : Scanner de sécurité assisté par l'IA et open source publié

Nullgaze est un nouveau scanner de sécurité open source assisté par l'IA qui détecte les vulnérabilités spécifiques au code généré par l'IA, avec un taux de faux positifs proche de zéro.

OpenClawRadar
CVE-2026-LGTM : Quand les agents IA se font confiance et cassent tout
Security

CVE-2026-LGTM : Quand les agents IA se font confiance et cassent tout

Un rapport d'incident satirique mais réaliste montre comment sept barrières de sécurité IA ont échoué à stopper un paquet malveillant, entraînant l'exfiltration de credentials et une facture d'inférence de 1,7 M$.

OpenClawRadar
ClawSecure : Plateforme de Sécurité pour l'Écosystème OpenClaw avec Audit à 3 Niveaux et Surveillance en Temps Réel
Security

ClawSecure : Plateforme de Sécurité pour l'Écosystème OpenClaw avec Audit à 3 Niveaux et Surveillance en Temps Réel

ClawSecure est une plateforme de sécurité dédiée à OpenClaw qui effectue des audits de sécurité à 3 niveaux, une surveillance en temps réel avec suivi des hachages SHA-256 toutes les 12 heures, et offre une couverture complète OWASP ASI. Elle a audité plus de 3 000 compétences populaires et est gratuite sans inscription requise.

OpenClawRadar
Approche de sécurité OpenClaw utilisant le routeur LLM et le partage privé zrok
Security

Approche de sécurité OpenClaw utilisant le routeur LLM et le partage privé zrok

Un développeur partage son approche pour exécuter OpenClaw et un routeur LLM dans un environnement VM+Kubernetes avec une seule commande, en abordant les préoccupations de sécurité en injectant les clés API au niveau du routeur et en utilisant zrok pour le partage privé au lieu des jetons traditionnels des applications de messagerie.

OpenClawRadar