Tu as installé OpenClaw parce qu'un collègue n'arrêtait pas d'en parler. Un agent IA — un programme qui exécute des tâches sur ta machine sans que tu cliques sur chaque bouton — qui gère tes fichiers, tes mails et ton calendrier. Tu lui as donné un accès shell (l'autorisation d'exécuter des commandes directement sur ton système d'exploitation). Tout semblait fluide. Automatisé. Zen.

Personne n'a mentionné que le truc qui exécute des commandes sur ton laptop a le même modèle de sécurité qu'un app store sans modération de 2014. N'importe qui avec un compte GitHub vieux d'une semaine pouvait uploader un ' skill ' — un plugin qui étend les capacités d'OpenClaw — sur ClawHub, le marketplace officiel. Aucune revue. Aucun scan. Aucune signature. Juste du feeling.

Le 27 mars 2026, OpenClawd a livré une mise à jour de sécurité avec vérification des skills et sandboxing runtime — des conteneurs isolés qui empêchent les plugins de toucher quoi que ce soit en dehors de leur périmètre. Ça a débarqué huit semaines après que les chercheurs de Koi Security ont découvert que 341 des 2 857 skills de ClawHub étaient des malwares. Soit 11,9 %. Pratiquement un sur huit.

Voici la chronologie. Le 30 janvier, OpenClaw a patché CVE-2026-25253 — une vulnérabilité (une faille de sécurité assez grave pour recevoir un numéro de suivi officiel) notée 8,8 sur 10 sur l'échelle de sévérité. Cette faille permettait à un attaquant de forger un simple lien qui, une fois cliqué, volait ton token d'authentification (la clé numérique qui prouve que c'est bien toi) et lui donnait un accès complet en exécution de code à distance — la capacité d'exécuter n'importe quelle commande sur ta machine comme s'il était assis devant ton clavier.

Trois jours plus tôt, le 27 janvier, le premier skill malveillant était déjà apparu sur ClawHub. Le 31 janvier, un compte nommé hightower6eu uploadait en masse dans toutes les catégories. L'audit du 1er février par Koi Security a retracé 335 de ces 341 skills à une seule campagne coordonnée baptisée ClawHavoc. La charge utile : Atomic macOS Stealer (AMOS) — un programme compact qui récupère tes mots de passe du trousseau, les données de 60+ extensions de portefeuilles crypto dans ton navigateur, tes clés SSH (les identifiants que ta machine utilise pour se connecter aux serveurs), ainsi que les fichiers de tes dossiers Bureau et Documents. Au 16 février, le compteur était monté à 824 skills malveillants sur plus de 10 700 entrées dans le marketplace.

Pendant ce temps, Bitsight a scanné internet et trouvé plus de 30 000 instances OpenClaw exposées sur le port 18789 — la porte réseau sur laquelle OpenClaw écoute — entre le 27 janvier et le 8 février. Comme l'a résumé Danny Wilson d'OpenClawd : ' Il existe désormais deux façons de se faire compromettre avant même d'avoir lancé ta première commande OpenClaw. '

Si ça te rappelle quelque chose, c'est normal. npm — le gestionnaire de paquets de JavaScript — a eu son incident event-stream en 2018 : une bibliothèque de confiance détournée pour voler des portefeuilles crypto. PyPI — l'index de paquets Python — a subi des vagues d'attaques par typosquatting en 2022, où des paquets malveillants imitaient des noms populaires avec une faute de frappe. La formule ne change jamais : marketplace ouvert plus zéro vérification plus croissance explosive égale des auteurs de malwares qui bougent plus vite que les mainteneurs.

Le correctif d'OpenClawd ajoute trois couches : un pipeline de vérification (une analyse automatisée qui bloque les patterns suspects avant publication), du sandboxing runtime (chaque skill tourne isolé avec des permissions explicites), et des installeurs signés (une preuve cryptographique que le logiciel n'a pas été altéré). De l'ingénierie solide. Un problème : ça ne couvre que l'hébergement managé d'OpenClawd. La majorité des utilisateurs d'OpenClaw tournent sur des instances self-hosted. Ils n'ont rien. L'écosystème de skills n'a toujours aucun standard de signature cryptographique.

Si tu fais tourner un agent IA avec accès shell — OpenClaw ou autre — traite-le comme un serveur de production. Audite les permissions qu'il a. Épingle les versions de tes plugins pour que les mises à jour ne s'infiltrent pas en douce. N'installe jamais de skills non vérifiés. Pars du principe que chaque plugin tiers est hostile jusqu'à preuve du contraire. Ce n'est pas de la paranoïa. C'est de l'hygiène ops ⚙️

L'ère de l'agent IA personnel vient de vivre sa première vraie crise de supply chain. Le nettoyage prendra plus longtemps que le cycle de hype qui l'a créée. Ton automatisation devrait rendre ta vie plus sereine — pas filer ton trousseau à un inconnu 🫶