L’adoption rapide d’assistants IA comme OpenClaw dépasse les mesures de sécurité, laissant les organisations vulnérables aux violations. Début 2026, plus de 500 000 instances d’OpenClaw fonctionnaient sans contrôle centralisé ni mécanisme d’arrêt d’urgence. Ce manque de surveillance a déjà conduit à un cas confirmé où l’instance OpenClaw d’un PDG a été vendue sur BreachForums, avec des données sensibles, des informations d’identification et un accès en temps réel.
Le principal problème est l’autonomie : les agents d’IA bénéficient d’autorisations bien supérieures à celles accordées aux employés humains, ignorant les principes de confiance zéro. OpenClaw s’exécute localement avec un accès complet aux fichiers, réseaux et applications, stockant les données au format texte brut non crypté. Cela permet aux attaquants d’extraire facilement des informations précieuses, notamment les sessions SSO, les clés API et les informations financières personnelles.
L’ampleur du problème :
- Les instances ont explosé de 6 300 à près de 500 000 en quelques mois seulement.
- Trois vulnérabilités critiques (CVE-2026-24763, CVE-2026-25157, CVE-2026-25253) restent non corrigées sur la plupart des systèmes en raison du manque de gestion centralisée.
- CrowdStrike détecte plus de 160 millions d’instances d’IA uniques au sein de sa base de clients, les « compétences » malveillantes comme ClawHavoc devenant un risque majeur pour la chaîne d’approvisionnement.
L’incapacité à observer, orienter, décider et agir (la boucle OODA) est critique. La plupart des organisations ne peuvent même pas identifier les outils d’IA qui s’exécutent sur leurs réseaux, ce qui permet à l’IA fantôme de proliférer sans contrôle. La liste BreachForums démontre le résultat : un centre de renseignements centralisé pour les attaquants, accessible via l’assistant d’un PDG compromis.
Réponses des fournisseurs et besoin de contrôle :
Cisco, Palo Alto Networks et Cato Networks ont commencé à publier des outils pour résoudre ce problème. Cisco a lancé DefenseClaw, un framework open source pour l’analyse de sécurité au sein du runtime OpenShell de NVIDIA. Palo Alto Networks a introduit Prisma AIRS 3.0 avec un registre agentique et une surveillance de l’exécution. Cato CTRL fournit une validation contradictoire via sa branche de renseignement sur les menaces. Cependant, le problème principal demeure : l’absence de kill switch à l’échelle de la flotte.
Actions immédiates :
- Découvrir : Utilisez des outils de détection de points de terminaison (CrowdStrike, Cato, Cisco) ou des recherches manuelles de fichiers (
~/.openclaw/) pour identifier toutes les instances. - Corriger/Isoler : Corrigez les CVE ou isolez les systèmes non patchables.
- Compétences d’audit : Supprimez toutes les compétences des sources non vérifiées.
- Appliquer DLP/ZTNA : Restreignez les applications d’IA non autorisées grâce à la prévention des pertes de données et aux contrôles d’accès au réseau sans confiance.
- Tuez les agents fantômes : Maintenez un registre de tous les agents IA, justifiez leur utilisation et révoquez les informations d’identification de ceux qui n’ont pas d’objectif commercial légitime.
La situation actuelle est intenable. Les organisations doivent reprendre le contrôle des déploiements d’agents IA avant que de nouvelles violations de données ne se produisent.
La vitesse à laquelle les agents d’IA sont adoptés et déployés est une menace en soi, mais l’incapacité à mettre en œuvre des contrôles de sécurité de base signifie que les risques ne feront qu’empirer.
