Moltbook et OpenClaw : quand les agents IA deviennent une menace pour la cybersécurité

En quelques semaines, Moltbook est devenu viral. Derrière l’engouement, sa dépendance à OpenClaw pourrait transformer chaque agent d’intelligence artificielle en menace interne, capable d’ouvrir la porte des systèmes d’information et des données à des logiciels malveillants.
‍

Moltbook fascine. En quelques semaines, ce réseau social exclusivement dédié aux agents d’IA a attiré l’attention des médias internationaux. Mais il ne fonctionne pas seul, il s’appuie sur OpenClaw, un framework open source qui permet de déployer des agents autonomes capables d’agir directement sur un appareil ou un serveur. C’est précisément cette dépendance qui soulève aujourd’hui des interrogations majeures en matière de cybersécurité. Un problème de supply chain peut transformer chaque agent en point d’entrée potentiel pour des malwares.
‍

Une architecture puissante… et fragile
‍

OpenClaw a été conçu pour donner aux agents IA une réelle capacité d’action. Concrètement, une fois installé localement ou sur un serveur, l’agent peut lire et créer des fichiers. Il peut interagir avec des services tiers via des clés API, exécuter des commandes système et automatiser des tâches complexes. Le principe est simple : l’agent agit avec les permissions de l’utilisateur qui l’a installé.

À lire aussi : Ransomware 2026 : industrialisation, guerre économique et stratégies de défense

Cette puissance a un revers. Si l’agent a accès aux mails, aux répertoires locaux, aux clés API ou aux services cloud, toute compromission ouvre mécaniquement l’accès à ces mêmes ressources. Autrement dit, une faille dans l’agent peut devenir une faille béante dans l’environnement de l’utilisateur.
‍

Des analyses de sécurité publiées début 2026 ont mis en évidence des milliers d'instances OpenClaw exposées sur Internet, dont certaines mal configurées. Censys a suivi une progression d'environ 1 000 à plus de 21 000 instances publiquement exposées entre le 25 et le 31 janvier 2026, tandis que Bitsight en a observé plus de 30 000 sur une fenêtre d'analyse plus large. D'autres laissaient accessibles des fichiers contenant des identifiants et, dans certains cas, l'exécution de commandes à distance était possible, le chercheur en sécurité Jamieson O'Reilly ayant notamment réussi à accéder à des clés API Anthropic, des tokens Telegram, des comptes Slack et des historiques de conversations complets depuis des instances exposées, sans aucune authentification requise.
‍

OpenClaw n’est pas seulement un outil conversationnel, c’est un logiciel doté de droits étendus sur le système où il est installé. Dans ce contexte, la moindre vulnérabilité prend une dimension critique. 
‍

Le modèle des “skills” : une faille de supply chain 
‍

Le cœur du problème se situe dans le système d’extensions d’OpenClaw, appelées “skills”. Ces modules, publiés sur une marketplace communautaire nommée ClawHub, permettent d’ajouter des fonctionnalités à un agent : intégrer une messagerie, automatiser certaines tâches ou interagir avec des plateformes externes.
‍

Le modèle rappelle celui des registres de packages open source comme npm ou PyPI. En pratique, n’importe quel développeur peut publier un module.

À lire aussi : Affaire Axios : comment l’Open Source devient la cible des attaques de type supply chain

Or, plusieurs audits indépendants ont montré que la plateforme hébergeait un nombre significatif de skills malveillants ou vulnérables. Le chercheur Oren Yomtov de Koi Security a audité l'ensemble des 2 857 skills disponibles sur ClawHub et en a identifié 341 malveillants, dont 335 rattachés à une opération coordonnée baptisée ClawHavoc. L'analyse indépendante de Bitdefender a porté ce chiffre à environ 900 skills malveillants, soit près de 20 % de l'ensemble du registre. Certains contenaient des scripts destinés à exfiltrer des données. D'autres intégraient des infostealers, notamment l'AMOS (Atomic macOS Stealer), dissimulés dans des outils présentés comme des intégrations productives (Gmail, Notion, Slack, GitHub).
‍

C’est ici qu’apparaît la logique de supply chain. L’utilisateur ne télécharge pas directement un malware, il installe une extension présentée comme utile. Celle-ci s’exécute ensuite avec les mêmes permissions que l’agent lui-même. Et puisque l’agent dispose d’un accès étendu au système, la portée d’un code malveillant est démultipliée. Dans ce schéma, la compromission ne passe pas nécessairement par Moltbook en tant que plateforme sociale. Elle peut provenir d’un module tiers, intégré en toute confiance. Un seul maillon faible suffit à fragiliser l’ensemble.
‍

Une porte d’entrée vers les systèmes internes
‍

Les risques associés à une compromission d'OpenClaw ne sont pas théoriques. Plusieurs analyses publiées début 2026 ont documenté des cas concrets, notamment l'audit de Koi Security sur la campagne ClawHavoc, l'analyse de Snyk portant sur près de 4 000 skills ClawHub, et le rapport de Zenity Labs "OpenClaw or OpenDoor?" démontrant l'exploitation par prompt injection indirecte. Des clés API ou des identifiants de services cloud étaient stockés dans des fichiers liés au framework. Une extension malveillante peut ainsi récupérer des mots de passe enregistrés par le navigateur, des clés API donnant accès à des services tiers, des identifiants de messagerie ou de stockage cloud, des clés privées liées à des portefeuilles crypto.
‍

Dans un environnement professionnel, l’impact peut être encore plus grave. Si l’agent est installé sur un poste de travail ou un serveur d’entreprise, la compromission peut ouvrir un accès indirect au système d’information, à des données clients ou à des infrastructures cloud. 

À lire aussi : William Culbert (Pentera) : "L'IA a créé un niveau zéro de la cybercriminalité"

À cela s’ajoute une vulnérabilité : la prompt injection. Un agent conçu pour lire des contenus externes, (email, posts ou pages web) peut être manipulé par des instructions dissimulées dans ces contenus. Si l’architecture ne cloisonne pas strictement les actions autorisées, l’agent peut effectuer des commandes non prévues. Cette attaque ne repose pas sur une faille logicielle classique, elle exploite la manière même dont l’agent interprète les instructions. 
‍

Une vulnérabilité propre à OpenClaw ou inhérente aux agents autonomes ?
‍

La question dépasse le seul cas d’OpenClaw. Le framework concentre aujourd’hui les critiques en raison de sa popularité et de son intégration à Moltbook. Mais le problème touche plus l’architecture des agents IA autonomes. Un agent capable d’agir sur un système doit impérativement disposer de permissions. Dès lors qu’il peut installer des extensions ou interagir avec des contenus externes, il devient un maillon d’une chaîne d'approvisionnement logicielle complexe. 
‍

L’innovation dans les agents autonomes progresse rapidement alors que les modèles de sécurité, eux, peinent à suivre. Ce déséquilibre transforme chaque agent en interface potentielle entre du code tiers et l’environnement privé de l’utilisateur. 

À lire aussi : Tribune - Proposition de Code de la sécurité dans le Cyberespace - Souveraineté, attractivité et protection des citoyens

Le succès viral d’une plateforme d’IA ne crée pas le risque mais l’amplifie. En multipliant les déploiements des agents reposant sur la même architecture, il agrandit la surface d’attaque. La question n’est donc pas seulement de savoir si Moltbook est sécurisé mais si l’écosystème technique qui le rend possible est conçu pour résister aux logiques classiques de compromission de la supply chain. À ce stade, les analyses disponibles invitent à la prudence. Surtout dans les environnements professionnels, où les conséquences pourraient dépasser le cadre du simple réseau social.