360 agents intelligents ont découvert une vulnérabilité critique dans OpenClaw, affectant 170 000 instances dans le monde entier

Le système de découverte de vulnérabilités par coordination multi-agents, détenu par le groupe chinois 360 Digital Security, a identifié une vulnérabilité critique dans l’outil d’agents IA OpenClaw, vulnérabilité qui a été confirmée par la base de données nationale chinoise sur les failles de sécurité (CNNVD). La vulnérabilité affecte plus de 170 000 instances accessibles publiquement réparties dans plus de 50 pays et territoires à l’échelle mondiale, permettant aux attaquants, avec simplement des droits de membre de base d’un groupe de discussion, de contourner toutes les politiques de sécurité des outils de la plateforme et de voler directement des informations sensibles du serveur.

Cœur de la vulnérabilité : point aveugle structurel du protocole MEDIA

Les chercheurs en sécurité de 360 ont nommé cette vulnérabilité « Vulnérabilité d’injection d’invite (prompt) dans le protocole MEDIA permettant de contourner les droits d’outils et de divulguer des fichiers locaux ». Sa dangerosité découle d’un défaut fondamental de conception de l’architecture d’OpenClaw.

Le protocole MEDIA s’exécute dans la couche de post-traitement, située après le mécanisme de contrôle des stratégies des outils de la plateforme. Par conséquent, il peut contourner entièrement toutes les limites d’appels d’outils. Cela signifie que, même si un administrateur a explicitement désactivé tous les appels d’outils sur OpenClaw, l’attaquant peut toujours exploiter cette vulnérabilité en s’appuyant uniquement sur les droits de membre de base du groupe de discussion — sans aucune autorisation spéciale — pour voler directement des fichiers sensibles locaux du serveur.

Ce défaut de conception « contournement de la couche de post-traitement » rend les stratégies classiques de protection par liste blanche d’outils totalement inefficaces. Les attaquants peuvent utiliser des outils d’automatisation pour lancer des attaques de balayage à grande échelle contre 170 000 instances exposées dans le monde entier, et pourraient en faire le point d’appui initial pour des intrusions ultérieures.

Déclenchement mondial d’OpenClaw et situation de l’adoption en Chine

OpenClaw a été publié en open source en novembre 2025 par l’ingénieur autrichien Peter Steinberger. Il s’agit d’un agent IA gratuit, capable d’envoyer des instructions via des applications de messagerie instantanée comme WhatsApp, afin de contrôler de manière autonome des applications informatiques, des navigateurs web et des équipements de maison connectée. Voici des données clés sur son adoption mondiale :

Ampleur des utilisateurs chinois : n°1 mondial : selon l’analyse de SecurityScorecard à New York, les utilisateurs actifs en Chine représentent environ le double de ceux des États-Unis, classés au deuxième rang

Écosystème commercial en formation rapide : des services d’installation et de configuration d’OpenClaw apparaissent sur des plateformes technologiques chinoises, avec des prix allant de 7 à 100 dollars

Versions dérivées localisées : des versions personnalisées en chinois telles que DuClaw, QClaw, ArkClaw, etc. ont été lancées successivement

Soutien par subventions gouvernementales : plusieurs administrations locales s’engagent à accorder des subventions aux entreprises qui adoptent des assistants virtuels

Échelle de la menace de sécurité : plus de 50 pays dans le monde et plus de 170 000 instances OpenClaw accessibles publiquement font face à cette menace de vulnérabilité

Alerte double des organismes : réponse synchronisée entre les institutions de sécurité et la base nationale de failles

Avant que 360 ne divulgue cette vulnérabilité, deux organismes nationaux de cybersécurité en Chine avaient déjà lancé des avertissements, indiquant que le déploiement d’OpenClaw présente des « risques majeurs », notamment la possibilité de contrôle à distance et de fuite de données, et publiant des recommandations détaillées en matière de sécurité, couvrant les utilisateurs individuels jusqu’aux entreprises et aux fournisseurs de services cloud.

La confirmation officielle de la CNNVD signifie que cette menace de sécurité est passée d’une évaluation d’alerte à une surface d’attaque active vérifiée. Des chercheurs en sécurité indiquent que, comme toutes les instances affectées sont accessibles publiquement et que l’entrée via les discussions de groupe est relativement peu exigeante, la faisabilité d’attaques automatisées à grande échelle est extrêmement élevée, faisant de la correction rapide la priorité la plus urgente à l’heure actuelle.

Questions fréquentes

Pourquoi la vulnérabilité du protocole MEDIA d’OpenClaw est-elle particulièrement dangereuse ?

Le protocole MEDIA s’exécute dans la couche de post-traitement, située après le contrôle des stratégies d’outils de la plateforme ; il peut donc contourner entièrement toutes les règles de désactivation des outils déjà configurées. Même si un administrateur a désactivé tous les appels d’outils, l’attaquant peut toujours exploiter cette vulnérabilité : il lui suffit de disposer des droits de membre de base dans le groupe de discussion pour lire directement des fichiers sensibles locaux du serveur, ce qui rend les stratégies de sécurité des outils traditionnelles totalement inefficaces.

Comment les instances OpenClaw affectées doivent-elles répondre d’urgence ?

Avant la publication du correctif officiel, il est recommandé d’adopter les mesures de mitigation d’urgence suivantes : limiter l’exposition directe des instances OpenClaw au réseau public ; suspendre les fonctions concernées par le protocole MEDIA ; mettre en place des contrôles stricts d’authentification de l’identité pour l’accès des membres aux groupes de discussion ; surveiller en continu les comportements d’accès anormaux aux répertoires sensibles du serveur.

Quel impact cette vulnérabilité a-t-elle sur les environnements d’OpenClaw déployés par les entreprises et les gouvernements ?

La confirmation officielle de la CNNVD signifie que cette vulnérabilité présente une faisabilité d’attaque hautement crédible. Pour les entreprises ayant déjà déployé OpenClaw en environnement de production (y compris les entreprises bénéficiaires de subventions accordées par des gouvernements locaux en Chine), il est nécessaire d’effectuer immédiatement un audit de sécurité, d’évaluer le niveau d’exposition réel à la fuite de données, en particulier pour les instances qui ont activé les fonctions de groupe de discussion et dans lesquelles le protocole MEDIA est en état activé.