Les correctifs de sécurité d'OpenClaw corrigent l'exposition des identifiants par code QR et les vulnérabilités de chargement automatique des plugins.

✍️ OpenClawRadar📅 Publié: March 13, 2026🔗 Source
Les correctifs de sécurité d'OpenClaw corrigent l'exposition des identifiants par code QR et les vulnérabilités de chargement automatique des plugins.
Ad

Deux vulnérabilités de sécurité critiques corrigées dans OpenClaw

OpenClaw a publié deux correctifs de sécurité pour des vulnérabilités sérieuses dans la plateforme. Les correctifs ont été publiés dans la version 2026.3.12 et font suite à un autre problème de sécurité (GHSA-5wcw-8jjv-m286) qui avait été corrigé la veille.

Vulnérabilité de jumelage par code QR

Le système de jumelage par code QR utilisé pour configurer de nouveaux appareils intégrait directement des identifiants de passerelle permanents dans le code QR, sans expiration. Cela signifiait que toute personne qui capturait une capture d'écran du code QR obtenait un accès permanent à tout ce que l'agent pouvait faire. La vulnérabilité a été corrigée dans la version 2026.3.12, qui utilise désormais des codes temporaires.

Si vous avez déjà partagé votre code QR de configuration quelque part (Discord, Reddit, Twitter, Facebook, etc.), vous devriez immédiatement renouveler votre jeton de passerelle.

Ad

Vulnérabilité de chargement automatique des plugins

La deuxième vulnérabilité concernait le chargement et l'exécution automatiques des plugins d'espace de travail lors du clonage d'un dépôt. Le système exécutait les plugins sans demander de confirmation à l'utilisateur ni vérifier si la source était fiable. Cela a également été corrigé dans la version 2026.3.12.

Statistiques d'exposition

Selon les données de SecurityScorecard de la semaine dernière, plus de 40 000 instances d'OpenClaw sont exposées sur l'internet public. Parmi celles-ci, environ 12 000 étaient exploitables via des vulnérabilités d'exécution de code à distance (RCE). Le nombre réel est probablement plus élevé maintenant.

Si vous utilisez OpenClaw, vous devriez mettre à jour vers la dernière version immédiatement pour résoudre ces problèmes de sécurité.

📖 Read the full source: r/openclaw

Ad

👀 See Also

Outil de Sécurité Agent-Drift v0.1.2 Publié : Un Bond en Avant dans la Sécurité de l'IA
Security

Outil de Sécurité Agent-Drift v0.1.2 Publié : Un Bond en Avant dans la Sécurité de l'IA

L'outil de sécurité Agent-Drift v0.1.2 est désormais disponible, offrant des fonctionnalités de sécurité améliorées pour les agents de codage IA. Cette mise à jour aborde les principaux défis de sécurité dans l'automatisation.

OpenClawRadar
Contournement des garde-fous de l'IA Claude observé lorsque les requêtes sont formulées comme des tâches de sécurité réseau.
Security

Contournement des garde-fous de l'IA Claude observé lorsque les requêtes sont formulées comme des tâches de sécurité réseau.

Un utilisateur de Reddit a découvert que l'IA Claude fournit des listes de domaines de piratage lorsque les demandes sont formulées comme des tâches de sécurité réseau à bloquer, contournant ainsi les mécanismes de refus habituels. Le modèle a reconnu avoir mal interprété l'intention après que l'utilisateur ait souligné l'influence de la formulation.

OpenClawRadar
Cheval de Troie détecté dans les fichiers skill.md du dépôt Claude Flow.
Security

Cheval de Troie détecté dans les fichiers skill.md du dépôt Claude Flow.

Un dépôt GitHub contenant des fichiers de compétences Claude Flow a été trouvé contenant un cheval de Troie identifié comme JS/CrypoStealz.AE!MTB. Le malware s'est déclenché automatiquement lorsqu'un IDE basé sur l'IA a ouvert le dossier pour lire les fichiers markdown.

OpenClawRadar
Pratiques de sécurité pratiques pour les agents OpenClaw
Security

Pratiques de sécurité pratiques pour les agents OpenClaw

Un post Reddit détaille des pratiques de sécurité spécifiques pour les utilisateurs d'OpenClaw, incluant des commandes programmées pour les mises à jour et audits, la gestion des accès des agents dans les canaux partagés, et la sécurisation des clés API et des compétences.

OpenClawRadar