Les failles de sécurité de la fonction 'Autoriser toujours' d'OpenClaw et des alternatives plus sûres

Vulnérabilités du système d'approbation OpenClaw

Le système d'approbation d'OpenClaw demande aux utilisateurs "puis-je faire cela ?" avant d'exécuter des commandes, avec des options pour approuver une fois ou approuver toujours. La fonctionnalité "autoriser toujours" a été identifiée comme un risque de sécurité à travers deux CVE récentes.

Problèmes de sécurité spécifiques

CVE-2026-29607 : L'approbation "autoriser toujours" se lie à la commande wrapper, pas à la commande interne. Si vous approuvez time npm test avec "toujours", le système se souvient "toujours autoriser time". Plus tard, si l'agent (ou via une injection d'invite) exécute time rm -rf /, cela s'exécute sans redemander car vous avez approuvé la commande wrapper.

CVE-2026-28460 : Cette vulnérabilité contourne entièrement la liste d'autorisation en utilisant des caractères de continuation de ligne de shell. Technique différente mais même résultat : les commandes s'exécutent sans la vérification d'approbation que vous pensiez vous protéger.

Les deux vulnérabilités sont corrigées dans OpenClaw 3.12+, mais le problème plus profond demeure.

Le problème de sécurité comportementale

Même après correction, le modèle mental "autoriser toujours" habitue les utilisateurs à ne plus prêter attention. Initialement, les utilisateurs lisent attentivement chaque invite d'approbation. À la semaine 3, ils cliquent "toujours" sur tout car les invites deviennent ennuyeuses et la confiance s'installe dans l'agent. À la semaine 6, les utilisateurs accumulent 20+ règles "toujours" qu'ils ne pourraient pas énumérer si on leur demandait.

Approche alternative recommandée

L'auteur source recommande : pas d'"autoriser toujours" pour tout ce qui modifie des fichiers, envoie des messages ou exécute des commandes shell. À la place, ajoutez des garde-fous explicites dans votre fichier SOUL.md :

"pour toute action qui modifie des fichiers, envoie des communications ou exécute des commandes shell : montrez-moi exactement ce que vous prévoyez de faire et attendez mon accord explicite. les approbations précédentes ne se reportent pas. demandez à chaque fois. c'est non négociable."

Cette approche signifie plus de clics sur "ok" sur des interfaces comme Telegram, mais empêche l'agent d'être trompé via une injection d'invite ou sa propre hallucination pour exécuter des actions destructrices sous des approbations obsolètes.

Point clé à retenir

Le système d'approbation est une fonctionnalité de commodité qui n'a jamais été conçue comme une frontière de sécurité. Traitez-le en conséquence.