Violation de Sécurité OpenClaw : L'Agent du PDG Vendu pour 25 000 $, 135 000 Instances Exposées

Vulnérabilités de sécurité critiques d'OpenClaw

Une instance OpenClaw d'un PDG britannique a été listée sur BreachForums le 22 février sous le pseudonyme "fluffyduck" et vendue pour 25 000 $ en Monero ou Litecoin. L'acheteur a obtenu l'accès à l'assistant IA personnel entièrement formé du PDG, y compris chaque conversation, la base de données de production de l'entreprise, les jetons Telegram, les clés API Trading 212 et les détails personnels familiaux divulgués à l'assistant. Toutes les données étaient stockées dans des fichiers Markdown en texte brut sous ~/.openclaw/workspace/ sans aucune encryption au repos.

Etay Maor, VP de l'intelligence des menaces chez Cato Networks, a déclaré lors du RSAC 2026 : "Votre IA ? C'est mon IA maintenant." SecurityScorecard a identifié 135 000 instances OpenClaw exposées sur l'internet public avec des paramètres par défaut non sécurisés.

Vérification de sécurité en 5 minutes

Vérification 1 : Exposition de la passerelle (30 secondes)

Exécutez : openclaw config get | grep -E "host|bind"

Si vous voyez 0.0.0.0 ou rien du tout, votre agent est accessible par toute personne qui trouve votre IP et port. CVE-2026-25253 (CVSS 8.8) permettait au JavaScript sur des pages web contrôlées par des attaquants d'ouvrir silencieusement des connexions WebSocket vers les passerelles OpenClaw locales, volant les jetons d'authentification et accordant un contrôle total. Corrigé dans la version 2026.1.29.

Correction :

{ "gateway": { "host": "127.0.0.1" } }

Accédez à distance uniquement via tunnel SSH : ssh -L 18789:localhost:18789 user@your-vps

Vérification 2 : État de l'authentification (30 secondes)

Exécutez : openclaw config get | grep -E "auth|token"

Le chercheur fmdz387 a trouvé près d'un millier d'instances OpenClaw accessibles publiquement sans aucune authentification fin janvier. Il pouvait accéder aux clés API, jetons Telegram, comptes Slack, historiques complets des conversations et exécuter des commandes administrateur.

Correction : Générez un jeton avec openssl rand -hex 24 et placez-le sous gateway.auth.token. Stockez dans .env, pas en JSON codé en dur.

Vérification 3 : Clés API en texte brut (30 secondes)

Exécutez : cat ~/.openclaw/openclaw.json | grep -i "key\|token\|secret"

OpenClaw stocke tout en Markdown et JSON en texte brut. Si votre clé Anthropic, clé OpenAI ou toute autre information d'identification est visible, elles sont à une seule violation d'être compromises.

Correction : Déplacez les informations d'identification vers .env et verrouillez les permissions : chmod 700 ~/.openclaw/credentials chmod 600 ~/.openclaw/openclaw.json

Régénérez vos clés API aujourd'hui si elles ont déjà été exposées.

Vérification 4 : Compétences installées (60 secondes)

Exécutez : openclaw skills list

Plus de 820 compétences malveillantes ont été confirmées sur ClawHub. La campagne ClawHavoc a planté des centaines de compétences d'apparence professionnelle qui exfiltrèrent silencieusement les fichiers .env vers des serveurs externes. À son pic, environ 1 compétence sur 12 sur ClawHub était compromise.

Pour chaque compétence dont vous n'avez pas personnellement examiné le code source : lisez-le maintenant ou supprimez-la avec openclaw skills uninstall <skill-name>

Restreignez les installations :

{ "skills": { "allowSources": ["clawhub:verified"] } }

Vérification 5 : État de la version (30 secondes)

Exécutez : openclaw --version

OpenClaw n'a pas de mécanisme de mise à jour automatique. Plus de 255 avis de sécurité ont été publiés sur la page GitHub GHSA à la mi-mars.

Mise à jour : npm install -g openclaw@latest openclaw doctor --deep

Lisez attentivement la sortie.