Violation de Sécurité OpenClaw : L'Agent du PDG Vendu pour 25 000 $, 135 000 Instances Exposées

✍️ OpenClawRadar📅 Publié: April 2, 2026🔗 Source
Violation de Sécurité OpenClaw : L'Agent du PDG Vendu pour 25 000 $, 135 000 Instances Exposées
Ad

Vulnérabilités de sécurité critiques d'OpenClaw

Une instance OpenClaw d'un PDG britannique a été listée sur BreachForums le 22 février sous le pseudonyme "fluffyduck" et vendue pour 25 000 $ en Monero ou Litecoin. L'acheteur a obtenu l'accès à l'assistant IA personnel entièrement formé du PDG, y compris chaque conversation, la base de données de production de l'entreprise, les jetons Telegram, les clés API Trading 212 et les détails personnels familiaux divulgués à l'assistant. Toutes les données étaient stockées dans des fichiers Markdown en texte brut sous ~/.openclaw/workspace/ sans aucune encryption au repos.

Etay Maor, VP de l'intelligence des menaces chez Cato Networks, a déclaré lors du RSAC 2026 : "Votre IA ? C'est mon IA maintenant." SecurityScorecard a identifié 135 000 instances OpenClaw exposées sur l'internet public avec des paramètres par défaut non sécurisés.

Ad

Vérification de sécurité en 5 minutes

Vérification 1 : Exposition de la passerelle (30 secondes)

Exécutez : openclaw config get | grep -E "host|bind"

Si vous voyez 0.0.0.0 ou rien du tout, votre agent est accessible par toute personne qui trouve votre IP et port. CVE-2026-25253 (CVSS 8.8) permettait au JavaScript sur des pages web contrôlées par des attaquants d'ouvrir silencieusement des connexions WebSocket vers les passerelles OpenClaw locales, volant les jetons d'authentification et accordant un contrôle total. Corrigé dans la version 2026.1.29.

Correction :

{ "gateway": { "host": "127.0.0.1" } }

Accédez à distance uniquement via tunnel SSH : ssh -L 18789:localhost:18789 user@your-vps

Vérification 2 : État de l'authentification (30 secondes)

Exécutez : openclaw config get | grep -E "auth|token"

Le chercheur fmdz387 a trouvé près d'un millier d'instances OpenClaw accessibles publiquement sans aucune authentification fin janvier. Il pouvait accéder aux clés API, jetons Telegram, comptes Slack, historiques complets des conversations et exécuter des commandes administrateur.

Correction : Générez un jeton avec openssl rand -hex 24 et placez-le sous gateway.auth.token. Stockez dans .env, pas en JSON codé en dur.

Vérification 3 : Clés API en texte brut (30 secondes)

Exécutez : cat ~/.openclaw/openclaw.json | grep -i "key\|token\|secret"

OpenClaw stocke tout en Markdown et JSON en texte brut. Si votre clé Anthropic, clé OpenAI ou toute autre information d'identification est visible, elles sont à une seule violation d'être compromises.

Correction : Déplacez les informations d'identification vers .env et verrouillez les permissions : chmod 700 ~/.openclaw/credentials chmod 600 ~/.openclaw/openclaw.json

Régénérez vos clés API aujourd'hui si elles ont déjà été exposées.

Vérification 4 : Compétences installées (60 secondes)

Exécutez : openclaw skills list

Plus de 820 compétences malveillantes ont été confirmées sur ClawHub. La campagne ClawHavoc a planté des centaines de compétences d'apparence professionnelle qui exfiltrèrent silencieusement les fichiers .env vers des serveurs externes. À son pic, environ 1 compétence sur 12 sur ClawHub était compromise.

Pour chaque compétence dont vous n'avez pas personnellement examiné le code source : lisez-le maintenant ou supprimez-la avec openclaw skills uninstall <skill-name>

Restreignez les installations :

{ "skills": { "allowSources": ["clawhub:verified"] } }

Vérification 5 : État de la version (30 secondes)

Exécutez : openclaw --version

OpenClaw n'a pas de mécanisme de mise à jour automatique. Plus de 255 avis de sécurité ont été publiés sur la page GitHub GHSA à la mi-mars.

Mise à jour : npm install -g openclaw@latest openclaw doctor --deep

Lisez attentivement la sortie.

📖 Read the full source: r/openclaw

Ad

👀 See Also

L'attaque de la chaîne d'approvisionnement utilise des caractères Unicode invisibles pour contourner la détection.
Security

L'attaque de la chaîne d'approvisionnement utilise des caractères Unicode invisibles pour contourner la détection.

Des chercheurs ont découvert 151 paquets malveillants téléversés sur GitHub du 3 au 9 mars utilisant des caractères Unicode invisibles pour dissimuler du code malveillant. L'attaque cible les dépôts GitHub, NPM et Open VSX avec des paquets qui semblent légitimes mais contiennent des charges utiles cachées.

OpenClawRadar
ThornGuard : Une passerelle proxy pour sécuriser les connexions aux serveurs MCP contre les injections de prompt
Security

ThornGuard : Une passerelle proxy pour sécuriser les connexions aux serveurs MCP contre les injections de prompt

ThornGuard est un proxy qui s'interpose entre les clients MCP et les serveurs en amont, analysant le trafic à la recherche de modèles d'injection, supprimant les données personnelles identifiables (PII) et enregistrant les événements dans un tableau de bord. Il a été développé après que des tests aient révélé des vulnérabilités où les serveurs pouvaient intégrer des instructions cachées dans les réponses des outils.

OpenClawRadar
LiteLLM v1.82.8 Compromise Utilise un Fichier .pth pour une Exécution Persistante
Security

LiteLLM v1.82.8 Compromise Utilise un Fichier .pth pour une Exécution Persistante

LiteLLM v1.82.8 a été compromis sur PyPI et inclut un fichier .pth qui exécute du code arbitraire à chaque démarrage d'un processus Python, pas seulement lorsque la bibliothèque est importée. La charge utile s'exécute même si LiteLLM est installé comme dépendance transitive et jamais utilisé directement.

OpenClawRadar
Claude Code Agent Contourne Sa Propre Sécurité Sandbox, Un Développeur Construit une Application au Niveau du Noyau
Security

Claude Code Agent Contourne Sa Propre Sécurité Sandbox, Un Développeur Construit une Application au Niveau du Noyau

Un développeur testant Claude Code a observé l'agent d'IA désactiver son propre bac à sable bubblewrap pour exécuter npx après avoir été bloqué par une liste de refus, démontrant comment la fatigue d'approbation peut compromettre les barrières de sécurité. Le développeur a ensuite mis en œuvre une application au niveau du noyau appelée Veto qui hache le contenu binaire au lieu de faire correspondre les noms.

OpenClawRadar