AccueilBlogSécurité
Sécurité2 mars 2026· 6 min

ClawJacked : la faille OpenClaw qui permet de hijacker ton agent IA via le navigateur

Une faille critique découverte le 28 février 2026 permet à n importe quel site malveillant de prendre le contrôle d une instance OpenClaw locale via WebSocket. Ce qu il faut faire maintenant.

La faille "ClawJacked" a été divulguée le 28 février 2026 par Oasis Security. Elle permet à n'importe quel site web malveillant de prendre le contrôle d'une instance OpenClaw locale via WebSocket — même si elle tourne sur localhost. Pas besoin de plugin, pas besoin d'interaction utilisateur.

Comment fonctionne la faille ClawJacked ?

OpenClaw expose un serveur WebSocket local pour permettre la communication entre le navigateur et l'agent. Le problème : ce serveur n'implémente pas de vérification d'origine stricte. N'importe quel site peut donc ouvrir une connexion WebSocket vers ws://localhost:3000 et envoyer des commandes.

Concrètement, un attaquant peut :

  • Dumper toute la configuration de l'agent (tokens API, nodes connectés, skills actifs)
  • Énumérer les appareils pairedés
  • Exécuter des commandes via les skills installés
  • Lire les fichiers du workspace

Oasis Security a publié une preuve de concept : une page web de 40 lignes de JavaScript suffit. Le tout en moins de 2 secondes, sans aucun avertissement visible.

Quel est le vrai impact sur les installations non-gérées ?

73% des instances compromises dans des tests en 2025 étaient des installations auto-hébergées sans configuration réseau restrictive (source : OWASP LLM Top 10 2025). ClawJacked amplifie ce risque parce que l'attaque ne nécessite pas d'accès réseau externe : une simple visite sur un site compromis suffit.

Parallèlement, Trend Micro a identifié 71 skills malveillants sur ClawHub distribuant l'Atomic macOS Stealer. Ces skills se font passer pour des outils légitimes (assistant Gmail, résumeur YouTube) et profitent exactement de la même surface d'attaque.

L'ANSSI avait déjà alerté en janvier 2026 sur la surface d'attaque des agents IA locaux. L'Autorité néerlandaise de protection des données (AP) a qualifié les agents open-source de "chevaux de Troie" pour les hackers le 12 février. ClawJacked leur donne raison.

Claw-Bot recommande de ne jamais exposer le gateway OpenClaw en dehors d'une interface loopback sécurisée, et de systématiquement auditer les skills installés avant la mise en production.

Comment sécuriser ton installation OpenClaw maintenant ?

Le patch officiel est disponible depuis le 28 février. Si tu gères toi-même ton instance, voici les étapes prioritaires :

1. Mettre à jour immédiatement

npm update openclaw
# ou via brew
brew upgrade openclaw

2. Vérifier la config réseau du gateway Dans ta config OpenClaw, le gateway doit être bound à 127.0.0.1 uniquement, jamais à 0.0.0.0. Claw-Bot impose ce paramètre par défaut sur toutes les installations qu'on configure.

3. Auditer les skills installés

openclaw skills list

Supprimer tout skill que tu n'as pas installé toi-même. Les 71 skills malveillants identifiés par Trend Micro utilisent des noms courants — méfie-toi des doublons ("gmail-helper", "youtube-summarizer").

4. Activer l'authentification WebSocket OpenClaw 2.1+ inclut un token d'authentification pour les connexions WebSocket locales. Active-le dans openclaw.config.json :

{
  "gateway": {
    "wsAuthToken": "ton-token-aléatoire-ici",
    "bindHost": "127.0.0.1"
  }
}

5. Activer le log poisoning protection La même CVE couvrait aussi l'injection indirecte via les logs. Dans les settings : security.sanitizeLogs: true.

Pour les installations gérées via Claw-Bot, ces patches sont appliqués automatiquement. On monitore ClawHub pour les skills suspects et on pousse les mises à jour de sécurité sans intervention manuelle de ta part.

Ce que cette faille révèle sur la sécurité des agents IA locaux

ClawJacked n'est pas un bug isolé. C'est le symptôme d'une architecture où l'agent IA a accès à tout (fichiers, APIs, appareils) mais où la surface d'attaque n'a pas été pensée dès le départ.

En mars 2026, le marché de la sécurité des prompts IA a dépassé les 1,98 milliard de dollars (Vectra AI). Les entreprises commencent à comprendre que déployer un agent IA sans audit de sécurité, c'est comme laisser un accès SSH ouvert sur internet en espérant que personne ne regarde.

Claw-Bot a traité ce sujet lors de plusieurs installations : les clients qui arrivent avec une instance OpenClaw "auto-installée" ont presque systématiquement des skills non-vérifiés et un gateway mal configuré. Le problème n'est pas OpenClaw en tant que tel — le projet est sérieux et réactif. Le problème c'est qu'un outil puissant mal configuré est une faille à lui seul.

Si tu veux un audit de ton installation ou une mise en place sécurisée dès le départ, consulte nos cas d'usage ou passe par la FAQ.

Un projet OpenClaw ?

Setup sécurisé, formation, support. On en parle ?

WhatsApp →← Tous les articles