Cinq erreurs courantes de configuration d'OpenClaw qui gaspillent de l'argent et créent des risques de sécurité

Un utilisateur expérimenté d'OpenClaw a analysé plus de 50 configurations différentes et a identifié cinq erreurs récurrentes qui entraînent des coûts inutiles, des vulnérabilités de sécurité et des problèmes opérationnels.

1. Utiliser Opus comme modèle par défaut

C'est l'erreur la plus coûteuse dans l'écosystème OpenClaw. Opus coûte 10 à 15 fois plus cher que Sonnet pour des tâches où les utilisateurs ne remarqueront pas la différence. Utilisez Sonnet pour les tâches routinières comme vérifier les calendriers, résumer des articles, définir des rappels ou rédiger des emails rapides. Réservez Opus uniquement pour la recherche approfondie, le raisonnement en plusieurs étapes ou l'écriture nuancée où la qualité compte vraiment — environ 5 à 10 % de l'utilisation typique.

Un utilisateur a réduit ses coûts hebdomadaires de 47 $ à 6 $ en changeant son modèle par défaut pour Sonnet et en ajoutant à son SOUL.md : "n'utiliser opus que lorsque je demande explicitement une analyse approfondie."

{
  "ai": {
    "model": "claude-sonnet-4-5-20250929"
  }
}

2. Ne jamais démarrer une nouvelle session

Chaque message de votre session actuelle est envoyé avec chaque nouvel appel API. Si vous discutez depuis des semaines dans la même session, même les questions simples transportent des milliers de jetons de conversation ancienne, augmentant les coûts. Des utilisateurs ont réduit leurs coûts mensuels de 40 à 60 % en tapant /new avant les tâches lourdes.

Démarrer une nouvelle session efface le tampon de conversation mais n'efface pas la mémoire de l'agent — il a toujours accès à SOUL.md, USER.md, MEMORY.md et tous les fichiers.

3. Installer des compétences sans lire le code source

ClawHub propose plus de 13 000 compétences, dont des centaines signalées par VirusTotal comme activement malveillantes (voleurs d'informations, portes dérobées, outils d'accès à distance). Même les compétences non malveillantes peuvent causer des problèmes :

• Boucler silencieusement sur cron, brûlant 20 à 30 $/mois sans sortie visible
• S'injecter dans chaque conversation, gonflant les fenêtres de contexte
• Remplacer des parties de la configuration sans notification
• Planter silencieusement et laisser les agents dans des états défectueux

La recommandation : n'installez pas de compétences à moins de pouvoir lire et comprendre leur code source en 5 minutes. Si une compétence nécessite un accès shell ou réseau, comprenez exactement pourquoi avant l'installation.

4. Passerelle exposée au réseau

Si votre configuration de passerelle a "host": "0.0.0.0" ou n'est pas définie, votre agent pourrait être accessible à toute personne connaissant votre adresse IP. Cela donne à des inconnus un accès potentiel à votre email, calendrier, fichiers et éventuellement au shell.

Vérifiez votre configuration actuelle :

openclaw config get | grep host

Corrigez en changeant pour :

{
  "gateway": {
    "host": "127.0.0.1"
  }
}

Accédez via un tunnel SSH : ssh -L 18789:localhost:18789 user@your-vps

5. Ajouter un deuxième agent avant que le premier ne fonctionne

Lorsque quelque chose casse avec l'agent 1, les utilisateurs créent souvent l'agent 2 pour un "nouveau départ" au lieu de réparer le problème original. Cela résulte en deux agents consommant des jetons indépendamment, des configurations de liaison/routage plus complexes et une complexité de débogage doublée.

Chaque agent est un consommateur de jetons distinct même au repos, nécessite sa propre configuration de liaison de canal correcte et complique le débogage. Ne créez pas l'agent 2 avant que l'agent 1 n'ait été stable et utile pendant au moins 2 semaines.