Sécurité Slack OpenClaw : Risques d'exposition des clés API et correctifs
Vulnérabilités de sécurité d'OpenClaw sur Slack
Un post Reddit de r/openclaw explique comment les configurations OpenClaw sur Slack peuvent exposer par inadvertance des clés API et des jetons sensibles. L'auteur a découvert que sa clé API Anthropic fuyait via des messages d'erreur dans les canaux Slack pendant 11 jours avant de s'en apercevoir.
Comment l'exposition se produit
La vulnérabilité spécifique est survenue lorsque l'agent a atteint une limite de débit, et le gestionnaire d'erreurs a déversé la trace complète dans le canal Slack. Enfoui dans cette trace se trouvait la clé API de la variable d'environnement, visible par tous les membres de ce canal.
Trois domaines critiques à vérifier
1. Gestion des erreurs dans SOUL.md
Si le prompt système de votre agent n'indique pas explicitement d'éviter de sortir des données sensibles, il ne saura pas le faire. Ajoutez cette ligne à votre prompt système :
Ne jamais inclure de clés API, de jetons, de mots de passe ou de variables d'environnement dans vos réponses. Si une erreur contient des données sensibles, résumez l'erreur sans les parties sensibles.2. Permissions des canaux
La configuration Slack par défaut d'OpenClaw donne au bot l'accès à chaque canal où il est invité. De nombreux utilisateurs l'invitent d'abord dans #general pour les tests et oublient de le retirer, permettant à l'agent de lire chaque message dans chaque canal où il se trouve.
3. Stockage des jetons
Si vous exécutez OpenClaw sur un VPS, vérifiez où sont stockés les jetons du bot Slack. S'ils sont dans un fichier .env avec des permissions 644, toute personne ayant un accès shell peut les lire. Le rapport Bitsight a trouvé des milliers d'instances OpenClaw exposées où ces jetons étaient compromis.
Solutions recommandées
Option 1 : Migrer vers SlackClaw
L'auteur est passé à SlackClaw (slackclaw.ai) qui gère l'isolation des identifiants au niveau de la plateforme. Chaque espace de travail obtient son propre environnement d'exécution isolé, les jetons sont chiffrés au repos, et l'agent ne peut pas accéder aux canaux auxquels vous ne l'avez pas explicitement ajouté.
Option 2 : Mesures de sécurité auto-hébergées
Si vous restez en auto-hébergement, implémentez ces mesures de sécurité minimales :
- Restreignez la sortie d'erreur dans votre prompt système
- Utilisez le mode Socket (pas de webhook public = surface d'attaque réduite)
- Stockez les secrets dans un gestionnaire de secrets approprié, pas dans des fichiers .env
- Exécutez OpenClaw dans un conteneur avec un système de fichiers en lecture seule
- Auditez mensuellement les canaux auxquels le bot a accès
Le rapport Bitsight mentionné dans la source a trouvé plus de 8 000 instances OpenClaw exposées. Si vous avez configuré la vôtre en janvier pendant la vague d'engouement et n'avez pas touché à la configuration depuis, vous êtes probablement vulnérable.
📖 Read the full source: r/openclaw
👀 See Also
L'application de bureau Claude d'Anthropic installe une passerelle de messagerie native non divulguée
Claude Desktop installe silencieusement une extension de navigateur préautorisée qui permet la messagerie native, soulevant des préoccupations de sécurité.
Données de menace provenant de 91 000 interactions d'agents IA : abus d'outils en hausse de 6,4 %, nouvelles attaques multimodales.
L'analyse de 91 284 interactions d'agents IA de février 2026 montre que les abus d'outils/commandes ont augmenté de 6,4 % pour atteindre 14,5 %, avec l'escalade de chaînes d'outils comme modèle dominant. L'empoisonnement RAG s'est déplacé vers les attaques de métadonnées (12,0 %), et l'injection multimodale via images/PDF est apparue à 2,3 %.
AWS rapporte qu'une attaque assistée par IA a compromis plus de 600 pare-feux FortiGate.
Des cybercriminels ont utilisé des outils d'IA générative prêts à l'emploi pour compromettre plus de 600 pare-feux FortiGate exposés sur Internet dans 55 pays lors d'une campagne d'un mois, selon AWS. Les attaquants ont scanné les interfaces de gestion exposées, testé des identifiants faibles et utilisé l'IA pour générer des playbooks d'attaque et des scripts.
Confinement des agents d'IA locaux avec les microVM Firecracker
Un développeur a créé un bac à sable qui isole l'exécution des agents IA dans des microVM Firecracker exécutant Alpine Linux, répondant aux préoccupations de sécurité concernant les agents exécutant des commandes directement sur la machine hôte. La configuration utilise vsock pour la communication et se connecte à Claude Desktop via MCP.