Par Adrian Cheek, chercheur principal en cybercriminalité
Nous avons identifié une exploitation généralisée des agents d'IA OpenClaw (anciennement MoltBot et ClawdBot) par plusieurs groupes de cybercriminels dans Flare. OpenClaw, un framework open source d'assistant IA autonome créé par Peter Steinberger (désormais chez OpenAI), a connu une adoption virale fin janvier 2026. Son architecture, qui lui confère des privilèges système étendus, des capacités de mémoire persistante et une intégration avec des plateformes de messagerie et des identifiants sensibles, présente un profil de risque élevé.
L'exploitation a commencé dans les 72 heures suivant son adoption généralisée, les acteurs malveillants exploitant de multiples vecteurs d'attaque, notamment :
- Vulnérabilités d'exécution de code à distance (CVE-2026-25253, CVSS 8.8)
- empoisonnement de la chaîne d'approvisionnement
- interfaces d'administration exposées
- campagnes de collecte de titres d'identité
Nos renseignements indiquent plus de 30 000 cas exposés, avec des activités malveillantes confirmées, notamment le vol de clés API, l’interception de messages multiplateformes et le déploiement de logiciels malveillants de vol d’informations partagés via Telegram et d’autres plateformes.
Activité des acteurs malveillants autour d'OpenClaw et attribution
Bien que l'attribution formelle demeure limitée, l'analyse comportementale révèle plusieurs campagnes coordonnées apparues presque immédiatement après le premier déploiement d'OpenClaw. La rapidité et l'efficacité de ces campagnes sont des indicateurs très probants de groupes criminels organisés exploitant le manque de connaissances techniques et de sécurité des utilisateurs. Malgré une large couverture médiatique, les campagnes suivantes sont toujours actives à l'heure actuelle.
ClawHavoc (Déploiement massif de la chaîne d'approvisionnement)
ClawHavoc a été détecté pour la première fois le 29 janvier 2026. Ce logiciel malveillant utilise principalement Atomic Stealer (macOS) et des enregistreurs de frappe (Windows) tout en se faisant passer pour des outils légitimes de cryptomonnaie (par exemple, « solana-wallet-tracker », « youtube-summarize-pro »). La documentation d'installation contient une section « Prérequis » qui invite les utilisateurs à exécuter des commandes curl pour télécharger le logiciel malveillant. Cette vulnérabilité, référencée CVE-2026-25253, permet l'exécution de code à distance et affecte toutes les versions antérieures à la version 2026.1.29. Elle permet à un attaquant d'accéder à tous les services et identifiants intégrés à OpenClaw grâce à une compromission complète du système et à des privilèges utilisateur. L'objectif final est probablement l'exfiltration de données sensibles en mémoire persistante et la possibilité de se déplacer latéralement au sein des réseaux d'entreprise si le logiciel est déployé sur des appareils professionnels.
Empoisonnement automatisé des compétences via ClawHub
À partir du 1er février 2026 environ, ClawHub, une plateforme de compétences gérée par la communauté pour OpenClaw, est devenue un canal de distribution majeur pour les logiciels malveillants en raison de la faible réglementation concernant la publication et de l'absence d'analyse de sécurité automatisée. Cette plateforme, toujours en activité, fonctionne selon un modèle de confiance par défaut : tout compte GitHub créé il y a au moins une semaine peut publier des compétences sans vérification de code. Ce modèle communautaire ouvert a favorisé la prolifération de techniques plus répandues telles que la prise de contrôle de comptes et l'usurpation d'identité d'utilisateurs légitimes et de confiance.
Nos recherches montrent que des comptes tels que « Hightower6eu » ont été impliqués dans l'automatisation des déploiements de masse.
Captures d'écran de l'activité de Hightower6eu sur la plateforme Flare (Flare lien vers la publication, inscrivez-vous à essai gratuit (pour y accéder si vous n'êtes pas déjà client)
Le déploiement massif vise à intégrer diverses techniques dans les mises à jour afin de simuler des activités réelles. Par exemple, il peut s'agir de documentation professionnelle contenant des sections « Prérequis » ou « Configuration » avec des commandes curl permettant de télécharger et d'exécuter des logiciels malveillants, ainsi que des commandes ouvrant des interfaces de ligne de commande interactives avec les serveurs de l'attaquant. Ceci permet un contrôle à distance persistant et l'exfiltration de clés API, de jetons OAuth et de mots de passe vers des services webhook de l'attaquant. Cette évolution rapide, combinée à des exigences minimales en matière de compte, a fait de cet environnement un terrain fertile pour la collecte et la reconnaissance de données par les attaquants.
Interfaces d'administration exposées
L'adoption de nouveaux processus ou plateformes comporte toujours des risques, mais leur adoption rapide par des utilisateurs peu familiers avec les configurations de sécurité adéquates a considérablement élargi la surface d'attaque potentielle et le nombre de victimes potentielles. L'utilisation d'outils d'analyse disponibles dans le commerce révèle des milliers d'instances d'OpenClaw dont l'interface utilisateur de contrôle est exposée et accessible sur le port par défaut 18789. À l'heure actuelle, ce nombre dépasse les 312 000 instances présentant ce port ouvert et vulnérable.
Recherche Shodan pour le port par défaut : 18789 exécutée le 18 février 2025
Ces instances déployées présentent diverses failles de sécurité potentiellement critiques, telles que l'absence de passerelles d'authentification permettant un accès non authentifié, le contournement des en-têtes de proxy inverse court-circuitant les contrôles d'authentification, ou encore la liaison des instances à l'adresse 0.0.0.0 au lieu de 127.0.0.1, les rendant ainsi directement accessibles depuis Internet. Des chercheurs en sécurité ont signalé des tentatives d'exploitation quelques minutes seulement après le déploiement d'instances honeypot utilisant les configurations par défaut.
Les acteurs malveillants concentrent leurs efforts sur le ciblage des agents d'IA
L'exploitation rapide des déploiements d'OpenClaw marque un tournant majeur dans l'évolution des menaces de sécurité liées à l'IA. Quelques semaines seulement après son adoption généralisée, les acteurs malveillants ont démontré une parfaite maîtrise de l'architecture de la plateforme, développé de multiples méthodes d'exploitation et tiré parti de l'écosystème de compétences pour établir des canaux d'attaque à grande échelle au sein de la chaîne d'approvisionnement. La rapidité et la coordination observées suggèrent que des groupes d'acteurs malveillants organisés, qu'ils soient criminels ou étatiques, surveillent et ciblent activement les plateformes d'agents d'IA émergentes.
Les problèmes de sécurité d'OpenClaw découlent de choix architecturaux fondamentaux privilégiant l'autonomie et les capacités au détriment des contrôles de sécurité. Ceci semble confirmé par des propos attribués à Peter Steinberger, interrogé par des chercheurs au sujet de la présence de logiciels malveillants. Il aurait répondu que la sécurité « n'est pas vraiment une priorité pour lui ». La conception de la plateforme, combinant mémoire persistante, accès système privilégié et intégration avec des services sensibles, crée une surface d'attaque qui correspond précisément aux objectifs des groupes de menaces : la collecte d'identifiants, la facilitation des déplacements latéraux et une capacité de surveillance et de persistance à long terme.
Que signifie l'exploitation d'OpenClaw pour les équipes de sécurité ?
Les organisations sont confrontées à des risques opérationnels immédiats et à des défis stratégiques à plus long terme. À court terme, les déploiements non autorisés ou insuffisamment sécurisés d'OpenClaw peuvent ouvrir la voie à l'exfiltration de données clandestine et permettre aux acteurs malveillants de s'implanter durablement au sein des environnements d'entreprise. À plus long terme, et compte tenu du recrutement de Steinberger par OpenAI et de l'utilisation probable d'OpenClaw comme modèle fondamental, il s'agit d'une première version d'agents d'IA autonomes qui s'intégreront de plus en plus aux flux de travail et à l'infrastructure des organisations. Toutefois, la responsabilité de la sécurité incombe alors aux organisations déployant ces modèles, au lieu d'être intégrée dès la conception.
Nous continuerons à surveiller l'évolution des menaces et à signaler toute activité criminelle ou étatique confirmée dans ce domaine.
Surveillez les menaces émergentes avec Flare
Le La gestion des expositions aux cybermenaces de Flare Notre solution permet aux organisations de détecter, de hiérarchiser et d'atténuer de manière proactive les vulnérabilités fréquemment exploitées par les acteurs malveillants. Notre plateforme analyse automatiquement le web classique et le dark web, ainsi que les communautés des principaux acteurs malveillants, 24 h/24 et 7 j/7 afin de détecter les événements inconnus, de hiérarchiser les risques et de fournir des renseignements exploitables immédiatement pour améliorer la sécurité.
Flare s'intègre à votre programme de sécurité en 30 minutes et remplace souvent plusieurs outils SaaS et open source. Découvrez les menaces externes auxquelles votre organisation est exposée en vous inscrivant à notre programme. essai gratuit.
