Les assistants basés sur l'IA ou « agents » — des programmes autonomes qui ont accès à l'ordinateur de l'utilisateur, à ses fichiers, à ses services en ligne et qui peuvent automatiser pratiquement n'importe quelle tâche — gagnent en popularité auprès des développeurs et des professionnels de l'informatique. Mais comme l'ont montré de nombreux gros titres sensationnalistes ces dernières semaines, ces nouveaux outils puissants et affirmés font rapidement évoluer les priorités de sécurité des organisations, tout en brouillant les frontières entre données et code, collègue de confiance et menace interne, hacker ninja et novice en code. La nouvelle sensation parmi les assistants basés sur l'IA — **OpenClaw** (anciennement connu sous le nom de **ClawdBot** et **Moltbot**) — a connu une adoption rapide depuis sa sortie en novembre 2025. OpenClaw est un agent IA autonome open-source conçu pour fonctionner localement sur votre ordinateur et prendre proactivement des mesures en votre nom sans avoir besoin d'être sollicité.  Si cela ressemble à une proposition risquée ou à un défi, considérez qu'OpenClaw est plus utile lorsqu'il a un accès complet à votre vie numérique, où il peut alors gérer votre boîte de réception et votre calendrier, exécuter des programmes et des outils, naviguer sur Internet pour obtenir des informations et s'intégrer à des applications de chat comme Discord, Signal, Teams ou WhatsApp. D'autres assistants IA plus établis comme **Claude d'Anthropic** et **Copilot de Microsoft** peuvent également faire ces choses, mais OpenClaw n'est pas juste un majordome numérique passif attendant les commandes. Au contraire, il est conçu pour prendre l'initiative en votre nom en fonction de ce qu'il sait de votre vie et de sa compréhension de ce que vous voulez faire. « Les témoignages sont remarquables », a observé la société de sécurité IA **Snyk**. « Des développeurs construisant des sites Web depuis leur téléphone tout en endormant leurs bébés ; des utilisateurs gérant des entreprises entières via une IA sur le thème des homards ; des ingénieurs qui ont mis en place des boucles de code autonomes qui corrigent des tests, capturent des erreurs via des webhooks et ouvrent des pull requests, tout cela pendant qu'ils sont loin de leur bureau. » Vous pouvez probablement déjà voir comment cette technologie expérimentale pourrait rapidement mal tourner. Fin février, **Summer Yue**, directrice de la sécurité et de l'alignement au laboratoire de « superintelligence » de **Meta**, a raconté comment elle expérimentait OpenClaw lorsque l'assistant IA a soudainement commencé à supprimer massivement des messages dans sa boîte de réception. Le fil de discussion comprenait des captures d'écran de Yue implorant frénétiquement le bot distrait via messagerie instantanée et lui ordonnant d'arrêter. « Rien ne vous rend plus humble que de dire à votre OpenClaw 'confirmer avant d'agir' et de le regarder supprimer votre boîte de réception à toute vitesse », a déclaré Yue. « Je ne pouvais pas l'arrêter depuis mon téléphone. J'ai dû COURIR à mon Mac mini comme si je désamorçais une bombe. »  Il n'y a rien de mal à ressentir un peu de schadenfreude face à la rencontre de Yue avec OpenClaw, qui correspond au modèle « bouger vite et casser des choses » de Meta, mais n'inspire guère confiance pour la suite. Cependant, le risque que des assistants IA mal sécurisés représentent pour les organisations n'est pas une plaisanterie, car des recherches récentes montrent que de nombreux utilisateurs exposent sur Internet l'interface administrative Web de leurs installations OpenClaw. **Jamieson O’Reilly** est un testeur de pénétration professionnel et fondateur de la société de sécurité **DVULN**. Dans un récent post sur Twitter/X, O’Reilly a averti que l'exposition d'une interface Web OpenClaw mal configurée à Internet permet aux parties externes de lire le fichier de configuration complet du bot, y compris toutes les identifiants que l'agent utilise — des clés d'API et jetons de bot aux secrets OAuth et clés de signature. Avec cet accès, a déclaré O’Reilly, un attaquant pourrait usurper l'identité de l'opérateur auprès de ses contacts, injecter des messages dans les conversations en cours et exfiltrer des données via les intégrations existantes de l'agent d'une manière qui ressemble à un trafic normal. « Vous pouvez récupérer l'historique complet des conversations sur chaque plateforme intégrée, ce qui signifie des mois de messages privés et de pièces jointes, tout ce que l'agent a vu », a déclaré O’Reilly, notant qu'une recherche superficielle a révélé des centaines de tels serveurs exposés en ligne. « Et comme vous contrôlez la couche de perception de l'agent, vous pouvez manipuler ce que l'humain voit. Filtrer certains messages. Modifier les réponses avant qu'elles ne soient affichées. » O’Reilly a documenté comment il est facile de créer une attaque réussie sur la chaîne d'approvisionnement via **ClawHub**, qui sert de référentiel public de « compétences » téléchargeables permettant à OpenClaw de s'intégrer et de contrôler d'autres applications. ## QUAND L'IA INSTALLE DE L'IA L'un des principes fondamentaux de la sécurisation des agents IA consiste à les isoler soigneusement afin que l'opérateur puisse contrôler pleinement qui et quoi peut parler à son assistant IA. Ceci est crucial en raison de la tendance des systèmes IA à tomber dans les attaques par « injection de prompt », des instructions en langage naturel astucieusement conçues qui trompent le système pour qu'il ignore ses propres mesures de sécurité. Essentiellement, des machines ingénierant socialement d'autres machines. Une récente attaque sur la chaîne d'approvisionnement visant un assistant de codage IA appelé **Cline** a commencé par une telle attaque par injection de prompt, entraînant l'installation sur des milliers de systèmes d'une instance pirate d'OpenClaw avec un accès système complet sans consentement. Selon la société de sécurité **grith.ai**, Cline avait déployé un flux de travail de triage de problèmes alimenté par l'IA en utilisant une action **GitHub** qui exécute une session de codage Claude lorsqu'elle est déclenchée par des événements spécifiques. Le flux de travail était configuré de manière à ce que tout utilisateur GitHub puisse le déclencher en ouvrant un problème, mais il ne vérifiait pas correctement si les informations fournies dans le titre étaient potentiellement hostiles. « Le 28 janvier, un attaquant a créé le problème n° 8904 avec un titre conçu pour ressembler à un rapport de performance, mais contenant une instruction intégrée : installer un package d'un référentiel GitHub spécifique », a écrit Grith, notant que l'attaquant a ensuite exploité plusieurs autres vulnérabilités pour s'assurer que le package malveillant serait inclus dans le flux de travail de publication nocturne de Cline et publié comme une mise à jour officielle. « C'est l'équivalent de la chaîne d'approvisionnement du « deputy confus » », a poursuivi le blog. « Le développeur autorise Cline à agir en son nom, et Cline (via compromission) délègue cette autorité à un agent entièrement distinct que le développeur n'a jamais évalué, jamais configuré et jamais consenti. » ## CODAGE AMBIANT Les assistants IA comme OpenClaw ont gagné un large public car ils permettent aux utilisateurs de « coder en ambiance », c'est-à-dire de construire des applications et des projets de code assez complexes simplement en leur disant ce qu'ils veulent construire. L'exemple le plus connu (et le plus bizarre) est probablement Moltbook, où un développeur a demandé à un agent IA fonctionnant sur OpenClaw de lui construire une plateforme similaire à Reddit pour les agents IA.  Moins d'une semaine plus tard, Moltbook comptait plus de 1,5 million d'agents enregistrés qui s'échangeaient plus de 100 000 messages. Les agents IA sur la plateforme ont rapidement construit leur propre site porno pour robots, et ont lancé une nouvelle religion appelée Crustafarian avec une figure de proue inspirée d'un homard géant. Un bot sur le forum aurait trouvé un bug dans le code de Moltbook et l'a publié sur un forum de discussion d'agents IA, tandis que d'autres agents ont trouvé et implémenté un correctif pour résoudre le défaut. Le créateur de **Moltbook**, **Matt Schlicht**, a déclaré sur les réseaux sociaux qu'il n'avait écrit aucune ligne de code pour le projet. « J'avais juste une vision pour l'architecture technique et l'IA l'a concrétisée », a déclaré Schlicht. « Nous sommes dans l'âge d'or. Comment ne pas donner un endroit à l'IA pour traîner. » ## LES ATTAQUANTS MONTENT EN NIVEAU L'autre face de cet âge d'or, bien sûr, est qu'il permet aux hackers malveillants peu qualifiés d'automatiser rapidement des cyberattaques mondiales qui nécessiteraient normalement la collaboration d'une équipe hautement qualifiée. En février, **Amazon AWS** a détaillé une attaque élaborée au cours de laquelle un acteur de menace russophone a utilisé plusieurs services IA commerciaux pour compromettre plus de 600 appliances de sécurité **FortiGate** dans au moins 55 pays sur une période de cinq semaines. AWS a déclaré que le hacker apparemment peu qualifié avait utilisé plusieurs services IA pour planifier et exécuter l'attaque, et pour trouver des managem