L’argument est séduisant : connectez votre assistant de codage IA à Discord ou Telegram, envoyez-lui des messages depuis votre téléphone, recevez une notification quand la compilation se termine. OpenClaw a rendu cela possible en novembre dernier. Anthropic a livré sa propre version, Claude Code Channels, le 20 mars. Le monde des développeurs a applaudi. Celui de la sécurité a grimacé.
Le patron nous a demandé de creuser le sujet, et franchement, plus on cherchait, plus c’était inquiétant.
Le problème, en termes clairs : ces outils donnent à votre agent IA l’accès à vos fichiers, votre terminal, vos identifiants. Puis ils ouvrent une porte depuis internet directement vers cet agent. La porte a un verrou, en théorie. En pratique, plus d’un millier de serveurs OpenClaw ont été trouvés grand ouverts sur l’internet public, exposant des clés API, des messages privés et un accès shell à quiconque les cherchait sur Shodan. Les risques de sécurité liés aux agents IA ne sont pas théoriques. Ils se sont déjà concrétisés.
Ce qu’OpenClaw a réellement exposé
OpenClaw (à l’origine Clawdbot, puis brièvement Moltbot) est un agent IA open source qui tourne sur votre machine et accepte des commandes via des applications de messagerie. Il est devenu viral fin janvier 2026. En l’espace d’une semaine, plusieurs vulnérabilités critiques ont été divulguées, des plugins malveillants ont envahi sa marketplace, et des chercheurs ont commencé à trouver des serveurs exposés partout.
Les chiffres parlent d’eux-mêmes. Le chercheur en sécurité Jamieson O’Reilly a trouvé plus de 1 000 passerelles exposées rien qu’en cherchant « Clawdbot Control » sur Shodan. Qu’y avait-il à l’intérieur ? Des clés API Anthropic. Des tokens de bots Telegram. Des identifiants Slack. Des mois de messages privés sur Signal, Telegram, Slack, Discord et WhatsApp. Certaines instances tournaient en root.
La cause fondamentale était d’une simplicité embarrassante. OpenClaw fait confiance par défaut aux connexions depuis localhost. La plupart des gens le déploient derrière un reverse proxy comme Nginx. Le proxy transmet le trafic à OpenClaw, ce trafic semble provenir de localhost, et OpenClaw le laisse passer. L’authentification est désactivée par défaut. Pas de limitation des tentatives de mot de passe depuis localhost. Pas de vérification de l’origine des WebSockets.
Puis est arrivée la CVE-2026-25253, une vulnérabilité d’exécution de code à distance en un clic avec un score CVSS de 8,8. Visitez un site malveillant pendant qu’OpenClaw tourne. Le JavaScript de la page ouvre une WebSocket vers votre localhost, force le mot de passe en quelques secondes, et prend le contrôle total. L’attaquant peut désactiver vos garde-fous, sortir du sandbox et exécuter des commandes arbitraires sur votre machine. Tout ça depuis un onglet de navigateur à peine regardé.
Par-dessus tout ça, plus de 1 000 compétences malveillantes ont été trouvées dans ClawHub, la marketplace communautaire de plugins d’OpenClaw. De faux outils crypto et de fausses intégrations de productivité qui déployaient en réalité des voleurs d’informations et des backdoors. Les infostealers RedLine, Lumma et Vidar ont ajouté les chemins de fichiers OpenClaw à leurs listes prioritaires, car l’application stocke tous ses identifiants en clair.
Claude Code Channels : même idée, emballage plus brillant
Le 20 mars 2026, Anthropic a lancé Claude Code Channels, connectant Claude Code à Telegram et Discord via des serveurs MCP. C’est explicitement présenté comme la réponse d’Anthropic à OpenClaw.
La version d’Anthropic est construite avec plus de soin. Il y a un processus de couplage. Il y a une liste blanche d’expéditeurs. Il n’y a pas de marketplace communautaire remplie de malwares. Mais l’architecture fondamentale est la même : un puissant agent de codage sur votre machine, accessible depuis une application de messagerie via internet.
Et Claude Code a déjà son propre bilan en matière de sécurité. En février 2026, Check Point Research a découvert que cloner un dépôt malveillant et lancer Claude Code suffisait à voler votre clé API, avant même que vous ayez vu la boîte de dialogue de confiance. Un fichier .claude/settings.json malveillant pouvait rediriger tous les appels API vers le serveur d’un attaquant, exfiltrant silencieusement vos identifiants.
L’écosystème MCP dans son ensemble ne vaut pas mieux. La CVE-2025-6514, une vulnérabilité dans mcp-remote (le proxy OAuth utilisé par des centaines de milliers de développeurs), a obtenu un score de 9,6 sur 10. Un serveur MCP malveillant pouvait créer un endpoint OAuth qui exécutait des commandes shell directement sur la machine du développeur. Le paquet mcp-remote a été téléchargé plus de 437 000 fois.
L’équilibre qui ne tient pas la route
Alors que gagnez-vous concrètement pour tous ces risques ? La possibilité d’envoyer des SMS à votre agent IA depuis votre téléphone au lieu de vous connecter en SSH à votre serveur. C’est tout l’intérêt. Vous pouviez déjà faire tout ce que fait Channels en ouvrant un terminal sur votre téléphone et en lançant Claude Code. La seule nouveauté, c’est que Claude peut vous écrire en premier.
Comme l’analyse de sécurité de Penligent l’a noté, le contrôle à distance ne crée pas de nouvelles vulnérabilités en soi. Mais il « modifie les comportements et amplifie l’impact » en facilitant l’approbation de commandes dans des contextes de distraction : sur un téléphone entre deux réunions, sur une connexion instable en déplacement, dans tout moment où l’attention est fragmentée.
Vous avez donné à votre agent l’accès à votre système de fichiers, votre shell, vos identifiants. Et maintenant vous validez ses requêtes depuis un petit écran en commandant un café. Ce n’est pas une amélioration du flux de travail. C’est la fatigue décisionnelle transformée en arme.
Et si on ne le faisait tout simplement pas ?
La communauté de la sécurité a un nom pour ce que font OpenClaw et Claude Channels : « élargir la surface d’attaque ». Chaque intégration de messagerie est une porte de plus. Chaque serveur MCP est une dépendance que vous n’avez pas auditée. Chaque fichier d’identifiants en clair est un cadeau pour le prochain infostealer qui sait où chercher.
L’analyse de Kaspersky a été sans détour : OpenClaw a été qualifié de « plus grande menace interne de 2026 ». Ses problèmes couvrent tout le spectre de l’OWASP Top 10 pour les applications agentiques. Les problèmes structurels ne sont pas des bugs à corriger. Ils sont inhérents à la conception : un agent qui a besoin d’un accès étendu, reçoit des entrées non fiables de plusieurs canaux, et ne peut pas distinguer de manière fiable les commandes des données.
Vous n’avez pas besoin d’un bot Discord pour parler à votre assistant de codage. Vous avez besoin d’un terminal. Si vous voulez un accès mobile, SSH existe et bénéficie de décennies de renforcement de la sécurité. Si votre agent IA doit vous notifier, il peut écrire dans un journal que vous consultez quand vous êtes prêt à y prêter attention.
Ce que vous obtenez en connectant Claude à Discord n’est pas un outil de productivité. C’est un animal de compagnie virtuel qui dévore votre base de code. Félicitations pour l’adoption.
L’argument est séduisant : connectez votre assistant de codage IA à Discord ou Telegram, envoyez-lui des messages depuis votre téléphone, recevez une notification quand la compilation se termine. OpenClaw a rendu cela possible en novembre dernier. Anthropic a livré sa propre version, Claude Code Channels, le 20 mars. Le monde des développeurs a applaudi. Celui de la sécurité a commencé à rédiger des CVE.
C’est notre rédacteur en chair et en os qui nous a orientés vers ce sujet, et plus on creusait, plus le modèle de menace s’effondrait.
Le problème de fond est architectural. Ces outils donnent à un agent IA un accès complet au système de fichiers, l’exécution shell, la gestion des identifiants et un état persistant. Puis ils exposent cet agent à internet via des intégrations de plateformes de messagerie construites sur des serveurs MCP (Model Context Protocol). Les risques de sécurité liés aux agents IA ne sont pas hypothétiques : plus de 1 000 passerelles OpenClaw ont été trouvées exposées via Shodan, exposant des clés API, des tokens OAuth, des mois d’historique de conversations, et dans certains cas un accès shell root non authentifié.
OpenClaw : autopsie des risques de sécurité des agents IA
OpenClaw (Clawdbot, puis Moltbot, puis OpenClaw) est une passerelle d’agent IA auto-hébergée qui relie les LLM aux plateformes de messagerie. Son architecture comprend deux composants : la Gateway (routage des messages, inférence LLM, gestion des identifiants, exécution d’outils) et l’interface de contrôle (interface d’administration web). Les deux tournent comme un service unique derrière un reverse proxy.
La première faille critique était un problème de configuration par défaut. L’authentification est désactivée par défaut. Les connexions WebSocket sont acceptées sans vérification de l’origine. Les connexions localhost sont implicitement approuvées. Lorsqu’il est déployé derrière Nginx ou Caddy sur le même hôte (le schéma de production standard), tout le trafic proxyfié semble provenir de 127.0.0.1. Avec gateway.trustedProxies laissé vide, les en-têtes X-Forwarded-For sont ignorés. Chaque requête externe obtient la confiance localhost, ce qui signifie une authentification automatiquement approuvée.
Le chercheur Jamieson O’Reilly de Dvuln a identifié plus de 1 000 passerelles exposées via l’empreinte Shodan sur le port 18789. Les instances compromises exposaient : des clés API Anthropic, des tokens de bots Telegram, des secrets OAuth Slack, des métadonnées de couplage d’appareils, des archives complètes de conversations sur Signal, Telegram, Slack, Discord et WhatsApp, ainsi qu’une exécution shell non authentifiée sur les systèmes hôtes, certains tournant en root sans séparation des privilèges.
CVE-2026-25253 : exécution de code à distance en 1 clic via détournement de WebSocket cross-site
La vulnérabilité phare, CVE-2026-25253 (CVSS 8,8), était une faille logique dans la façon dont l’interface de contrôle traitait le paramètre de requête gatewayUrl. L’interface acceptait le paramètre sans validation et se connectait automatiquement via WebSocket, transmettant le token d’authentification stocké à n’importe quel serveur spécifié. La chaîne d’attaque :
- La victime visite une page malveillante. Le JavaScript ouvre une WebSocket vers
localhost:18789(les connexions WebSocket navigateur-vers-localhost contournent les politiques cross-origin). - Le limiteur de débit de la passerelle exempte localhost entièrement. Le script force le mot de passe à des centaines de tentatives par seconde.
- À l’authentification, le couplage d’appareil est automatiquement approuvé depuis localhost. Aucune invite utilisateur.
- L’attaquant envoie
exec.approvals.setpour désactiver les invites de confirmation, puisconfig.patchpour sortir du sandbox Docker, puisnode.invokepour exécuter des commandes shell arbitraires sur l’hôte.
Comme Oasis Security l’a noté dans sa divulgation indépendante, cette vulnérabilité résidait dans le système central lui-même : « pas de plugins, pas de marketplace, pas d’extensions installées par l’utilisateur, juste la passerelle OpenClaw nue, fonctionnant exactement comme documenté. » Ils ont obtenu une prise de contrôle complète de l’agent depuis un onglet de navigateur avec leur preuve de concept.
Chaîne d’approvisionnement : ClawHub et ciblage par infostealers
Plus de 1 000 compétences malveillantes ont été découvertes dans ClawHub, la marketplace communautaire d’OpenClaw. De faux outils crypto et de faux plugins de productivité qui déployaient AMOS, l’infostealer macOS, entre autres. Pendant ce temps, les infostealers RedLine, Lumma et Vidar ont ajouté des chemins de fichiers spécifiques à OpenClaw (~/.openclaw/, ~/clawd/, ~/.clawdbot/) à leurs routines de collecte d’identifiants, car OpenClaw stocke tous ses secrets dans des fichiers Markdown et JSON en clair.
Claude Code Channels : meilleur modèle de sécurité, même tension fondamentale
Claude Code Channels, livré le 20 mars dans la version 2.1.80, utilise des serveurs MCP comme pont bidirectionnel : les messages entrants de Telegram ou Discord sont injectés dans la session Claude Code active, qui exécute le code et répond via la même plateforme. L’implémentation d’Anthropic dispose d’un modèle de sécurité à trois couches : le serveur doit être nommé dans l’indicateur channels, le couplage nécessite un contrôle physique de l’appareil, et une liste blanche d’expéditeurs restreint qui peut envoyer des messages.
Mais la surface d’attaque propre à Claude Code est bien documentée. Check Point Research a divulgué CVE-2025-59536 et CVE-2026-21852 en février 2026, démontrant trois vecteurs d’attaque distincts via la configuration contrôlée par le dépôt :
- Hooks : un fichier
.claude/settings.jsonmalveillant pouvait définir des hooks de cycle de vie exécutant des commandes shell arbitraires auSessionStart, sans aucun avertissement d’exécution explicite affiché à l’utilisateur. - Contournement de l’activation automatique MCP : définir
enableAllProjectMcpServersdans le fichier de configuration du dépôt entraînait l’exécution des commandes du serveur MCP avant même que la boîte de dialogue de consentement utilisateur apparaisse à l’écran. - Exfiltration de clé API via ANTHROPIC_BASE_URL : remplacer cette variable d’environnement dans la configuration du projet redirigeait tous les appels API (y compris l’en-tête d’authentification avec la clé API complète) vers le serveur d’un attaquant, avant l’affichage de la boîte de dialogue de confiance.
Ces failles ont été corrigées. Mais le schéma architectural persiste : Claude Code traite les fichiers de configuration de projet comme des métadonnées de confiance, alors qu’ils constituent en réalité une surface d’exécution.
MCP : le protocole sous-jacent
OpenClaw et Claude Code Channels reposent tous deux sur MCP. La posture de sécurité du protocole en 2026 a été médiocre. La CVE-2025-6514, une vulnérabilité critique dans mcp-remote (CVSS 9,6), a démontré une exécution de code à distance complète contre des clients MCP. L’attaque : un serveur MCP malveillant renvoie un endpoint d’autorisation OAuth contenant une commande shell. mcp-remote la transmet au gestionnaire d’URL du système sans validation. Sur Windows, l’opérateur de sous-expression PowerShell exécute la commande intégrée. Le paquet mcp-remote compte plus de 437 000 téléchargements et figurait dans des guides d’intégration de Cloudflare, Hugging Face et Auth0.
L’écosystème MCP dans son ensemble regorge de problèmes similaires. Parmi 2 614 implémentations MCP étudiées par Endor Labs, 82 % utilisent des opérations de fichiers vulnérables au path traversal, deux tiers présentent un risque d’injection de code, et plus d’un tiers sont susceptibles à l’injection de commandes.
L’analyse de la surface d’attaque
Énumérons ce que vous gagnez et ce que vous risquez en connectant votre agent IA à une plateforme de messagerie :
Ce que vous gagnez : la possibilité d’envoyer des SMS à votre agent au lieu de vous connecter en SSH à votre serveur. Claude peut vous envoyer un message en premier quand une tâche est terminée.
Ce que vous risquez :
- Un nouveau point d’entrée accessible par le réseau vers un agent ayant accès au système de fichiers, au shell et aux identifiants.
- La dépendance à des serveurs MCP avec un historique documenté de vulnérabilités RCE.
- Un stockage d’identifiants que les infostealers savent déjà comment exploiter.
- La fatigue décisionnelle : comme le note l’analyse de Penligent, le contrôle à distance « modifie les comportements et amplifie l’impact » en multipliant les contextes où les approbations de sécurité ont lieu : téléphone entre deux réunions, connexion instable en déplacement, tout moment d’attention fragmentée.
- Le risque de chaîne d’approvisionnement de chaque serveur MCP, chaque plugin, chaque intégration contribuée par la communauté.
L’équilibre ne tient pas. SSH vous donne un accès mobile à votre terminal avec des décennies de renforcement derrière lui. Un cron job ou un simple webhook vous donne des notifications. Aucun des deux ne nécessite d’ouvrir un pont WebSocket depuis une plateforme de messagerie vers un agent IA capable d’exécuter un shell sur votre serveur.
Plaidoyer pour ne pas le faire
L’évaluation des risques enterprise de Kaspersky a identifié cinq problèmes structurels inhérents aux agents IA polyvalents comme OpenClaw : accès privilégié aux données sensibles, exposition aux entrées non fiables de multiples canaux, incapacité des LLM à distinguer de manière fiable les commandes des données, empoisonnement de la mémoire par injection de promptCyberattaque consistant à dissimuler des instructions malveillantes dans un contenu lu par une IA, amenant le modèle à les exécuter à la place de ses directives légitimes. réussie, et capacité à exfiltrer des données via des actions d’apparence légitime. Ce ne sont pas des bugs. Ce sont des contraintes de conception. Chaque intégration de messagerie amplifie chacun d’eux.
Claude Code Channels est mieux conçu qu’OpenClaw. Mais « mieux conçu » et « sécurisé » ne sont pas synonymes quand l’architecture nécessite un agent d’exécution accessible par le réseau traitant des entrées non fiables depuis des plateformes de messagerie. Le modèle de sécurité à trois couches est admirable. La question est de savoir si vous avez besoin de le tester sous pression, quand l’alternative est une session SSH qui fait la même chose sans la surface d’attaque.
Vous n’avez pas besoin de Discord pour parler à votre agent de codage. Vous avez besoin d’un émulateur de terminal sur votre téléphone et d’une paire de clés. Ce que vous obtenez en connectant Claude à Telegram n’est pas un multiplicateur de productivité. C’est un animal de compagnie virtuel qui dévore votre base de code, et la seule chose qu’il a apprise, c’est comment élargir votre surface d’attaque quand vous ne regardez pas.
