Sécuriser l'entreprise IA : le point de vue de notre PDG sur la mise en œuvre de l'IA sans perdre le contrôle.
Lire le blog

Sécuriser l'entreprise IA : le point de vue de notre PDG sur la mise en œuvre de l'IA sans perdre le contrôle. Lire le blog →

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
Surfaces d'attaque

De Clawdbot à OpenClaw : quand l'automatisation devient une porte dérobée numérique

29 janvier 2026
Lucie Cardiet
Responsable de la recherche sur les cybermenaces
De Clawdbot à OpenClaw : quand l'automatisation devient une porte dérobée numérique

Après la première publication de cet article, le projet anciennement connu sous le nom de Clawdbot et Moltbot a fait l'objet d'un nouveau changement de nom et s'appelle désormais OpenClaw. L'architecture agentique sous-jacente et les considérations de sécurité abordées ici restent pertinentes sous ce nouveau nom.

---

Clawdbot s'est imposé comme l'un des agents IA open source les plus discutés au début de l'année 2026, non pas parce qu'il s'agissait d'un chatbot de plus, mais parce qu'il franchissait une limite que de nombreux outils n'avaient pas franchie. Il combinait de grands modèles linguistiques avec un accès direct et autonome aux systèmes d'exploitation, aux fichiers, aux identifiants et aux plateformes de messagerie.

Mais ce que les utilisateurs ont gagné en productivité, les pirates l'ont gagné en tant que nouvelle surface d'attaque.

Et lorsque Clawdbot a changé de nom pour devenir Moltbot en raison de problèmes liés à la marque déposée, le profil de risque a de nouveau évolué. Non pas parce que l'agent sous-jacent avait changé, mais parce que la popularité fulgurante du produit s'est heurtée à un manque de préparation opérationnelle. Dans la précipitation pour renommer les référentiels, les domaines et les comptes sociaux, des lacunes en matière de propriété sont apparues. Les pirates ont réagi plus rapidement que les responsables de la maintenance, détournant les identités abandonnées et exploitant la confiance de la communauté en quelques secondes.

Le passage du projet à OpenClaw s'est accompagné d'un regain d'intérêt pour la conception axée sur la sécurité et d'avertissements plus clairs concernant les risques liés à l'accès autonome au système, ce qui montre que les responsables de la maintenance reconnaissent désormais le manque de sécurité mis en évidence par les premiers utilisateurs.

Aujourd'hui, l'adoption explosive de cet outil joue en faveur des pirates. Un nombre croissant d'utilisateurs sont impatients de l'essayer, de le cloner, de l'intégrer et de l'utiliser avec des autorisations étendues avant même que les questions de sécurité ne soient pleinement comprises. Cette combinaison de privilèges élevés, d'adoption virale et de confusion momentanée des identités transforme un outil d'automatisation déjà sensible en une cible très attractive.

Capture d'écran du message de Peter Steinberger sur X.
Clawdbot, désormais Moltbot, a été créé par Peter Steinberger (@steipete). Il l'a décrit à plusieurs reprises comme un projet amateur, inachevé, vieux de moins de trois mois et qui ne s'adresse pas à la plupart des utilisateurs non techniciens. Il a été conçu pour inspirer l'expérimentation, et non pour fonctionner comme un produit d'entreprise robuste.

Clawdbot n'est pas conçu pour être exposé par défaut. Si vous n'êtes pas à l'aise avec le renforcement de la sécurité d'un serveur, la compréhension des limites de confiance des proxys inversés et l'exécution de services à privilèges élevés avec des contrôles de privilèges minimaux, ce n'est pas quelque chose à déployer sur un VPS public.

Le projet suppose un niveau de maturité opérationnelle que de nombreux utilisateurs sous-estiment, et la plupart des échecs observés jusqu'à présent dans le monde réel sont dus à des problèmes de configuration et non à des exploits.

Capture d'écran d'un terminal montrant l'installation de Clawdbot
Lors de l'installation, Clawdbot signale clairement ce risque. Les utilisateurs reçoivent un avertissement clair indiquant que l'agent peut exécuter des commandes, accéder à des fichiers et agir sur les outils activés, et doivent explicitement accepter pour continuer. Si vous sélectionnez « Non », l'installation est complètement interrompue.

Il ne s'agit pas ici d'un projet d'IA qui a échoué. Il s'agit plutôt d'une histoire qui montre comment les attaques modernes se développent lorsque la confiance, l'automatisation et l'identité évoluent plus rapidement que les contrôles de sécurité.

Pour comprendre pourquoi Clawdbot attire si rapidement les pirates, il est utile d'examiner comment l'agent fonctionne réellement une fois déployé.

TL;DR

  • Moltbot transforme l'automatisation en une surface d'attaque hautement privilégiée lorsqu'il est exposé ou mal configuré.
  • La plupart des compromissions dans le monde réel proviennent d'erreurs de configuration et d'abus de confiance, et non de vulnérabilités zero-day.
  • Une fois compromis, l'agent permet le vol d'identifiants, les mouvements latéraux et les ransomwares.
  • Les agents IA autonomes doivent être considérés comme des infrastructures privilégiées, et non comme des outils de productivité.
  • Si vous ne pouvez pas le renforcer et le surveiller, ne l'exposez pas.

La suite de cet article explique comment Moltbot est devenu si rapidement une cible attractive , comment les pirates l'utilisent dans la pratique et ce que cela signifie pour l'avenir de la sécurité des IA agentives. Les lecteurs à la recherche de conseils pratiques peuvent passer directement à la section consacrée au renforcement de la sécurité, vers la fin de l'article.

L'agent IA en tant que superutilisateur fantôme persistant

Clawdbot a été conçu pour fonctionner sur des infrastructures contrôlées par l'utilisateur, des ordinateurs portables, des serveurs domestiques, cloud et même des ordinateurs monocarte. Il peut exécuter des commandes shell, lire et écrire des fichiers, naviguer sur le Web, envoyer des e-mails ou des messages instantanés, et conserver une mémoire persistante d'une session à l'autre. Dans la pratique, il agit comme une couche d'automatisation hautement privilégiée, détenant souvent des clés API, des jetons OAuth, des identifiants de chat et parfois un accès de niveau racine. Cette conception regroupe plusieurs limites de confiance en un seul système. Les plateformes de messagerie, les systèmes d'exploitation locaux, cloud et les outils tiers convergent tous vers un seul agent autonome. Une fois déployé, Clawdbot n'est plus seulement une application, il fait partie intégrante de la structure de sécurité de l'environnement.

Capture d'écran des fonctionnalités de Moltbot
Source : Moltbot

Du point de vue d'un pirate, c'est idéal. Il suffit de compromettre l'agent une seule fois pour hériter de tout ce à quoi il a accès, dans tous les environnements.

Une fois ce niveau d'accès atteint, les pirates n'ont plus besoin de nouvelles techniques, ils réutilisent simplement celles qu'ils connaissent déjà grâce à un intermédiaire beaucoup plus performant.

Comment les pirates exploitent Clawdbot dans la pratique

Une fois Clawdbot (aujourd'hui Moltbot) déployé, la question n'est plus de savoir s'il peut être utilisé à des fins malveillantes, mais comment. Certaines techniques ont déjà été signalées (exposition due à une mauvaise configuration et astuces liées à la chaîne d'approvisionnement), tandis que d'autres, comme l'injection de prompt, sont bien documentées dans la recherche et deviennent réalistes lorsque les agents peuvent lire du contenu non fiable et exécuter des outils.

Accès initial : lorsque l'agent devient le point d'entrée

La manière la plus courante dont Clawdbot est compromis n'est pas par le biais d'un exploit sophistiqué, mais par une simple exposition. L'interface utilisateur de contrôle est une interface administrative destinée à être accessible localement. Dans la pratique, certains utilisateurs la rendent accidentellement accessible depuis l'Internet public en raison d'une mauvaise configuration, de ports ouverts ou de paramètres proxy non sécurisés.

Lorsque cela se produit, un tableau de bord d'administration local peut commencer à se comporter comme un panneau de commande à distance.

Une partie de la confusion vient de la façon dont le mot exposé est utilisé. Dans la pratique, il existe des différences significatives :

  • Connecté à Internet : accessible via une adresse IP publique et un port.
  • Empreinte digitale : détectable par Shodan ou Censys car la réponse HTTP correspond aux signatures Moltbot ou Clawdbot, même si l'authentification est activée.
  • Non authentifié ou contourné : l'interface utilisateur de contrôle est accessible sans appairage ou identifiants valides, souvent en raison d'une mauvaise configuration. Il s'agit là d'un cas dangereux.

Cette distinction est importante. Une fois qu'une interface administrative est accessible depuis l'Internet public, elle devient facile à détecter. Les moteurs de recherche tels que Shodan peuvent rapidement mettre au jour ces systèmes, transformant ainsi une simple erreur de configuration en un problème généralisé.

Capture d'écran de l'interface Shodan affichant les résultats de la requête « Clawdbot ».
Capture d'écran montrant un grand nombre de résultats Clawdbot dans Shodan. Source : Shodan.io

Les captures d'écran publiques montrant un grand nombre de résultats Clawdbot peuvent être trompeuses. Beaucoup représentent des systèmes qui sont visibles mais toujours protégés. Le risque réel réside dans le petit nombre de cas où l'authentification est manquante ou inefficace.

Dans ces situations, l'interface utilisateur de contrôle est accessible depuis l'Internet public et les pirates peuvent être en mesure de consulter les données de configuration, d'accéder à l'historique des conversations ou d'émettre des commandes, selon la configuration de l'agent.

Capture d'écran de l'interface utilisateur de Clawdbot et de son code source
Capture d'écran d'une interface utilisateur Clawdbot Control exposée. Source : X

Même lorsque les utilisateurs pensent que l'authentification est activée, des paramètres par défaut non sécurisés et des configurations proxy incorrectes permettent aux pirates de la contourner complètement. Aucun zero-day nécessaire. Une simple réécriture d'en-tête ou règle de transfert peut faire tomber la frontière entre les accès fiables et non fiables. Une fois à l'intérieur, les pirates héritent de toutes les capacités de l'agent.

Tous les accès initiaux ne nécessitent pas une exposition au réseau ou une mauvaise configuration.

Ingénierie sociale et injection rapide

La capacité de Clawdbot à lire les e-mails, les messages instantanés et les documents crée une nouvelle surface d'attaque où la charge utile est le langage, et non malware.

L'injection rapide a été démontrée dans le cadre de recherches et de configurations pratiques d'agents : un message spécialement conçu peut parfois inciter un agent à divulguer des données sensibles ou à effectuer des actions non souhaitées, même lorsque l'attaquant ne touche jamais directement l'hôte.

Capture d'écran d'un message Reddit concernant une commande d'injection malveillante dans Moltbot
Capture d'écran d'un message Reddit mentionnant qu'une « compétence » malveillante Moltbot a été publiée dans un référentiel public et présentée comme un outil utile. Elle demandait aux utilisateurs de copier-coller une commande dans leur terminal. Toute personne qui suivait ces instructions exécutait à son insu un script distant sur son propre ordinateur. Source : Reddit

La défense consiste moins à « corriger un bug » qu'à limiter ce que l'agent peut faire, qui peut communiquer avec lui et comment il traite les contenus non fiables.

Lorsque les pirates parviennent à s'introduire dans l'hôte, la conception locale de Clawdbot crée un deuxième chemin plus discret pour prendre le contrôle.

Malware les données Clawdbot

malware les voleurs d'informations Endpoint n'ont pas besoin d'un exploit spécifique à Clawdbot pour tirer parti des déploiements d'agents. Si les jetons, les artefacts OAuth ou l'état des agents sont stockés localement, et en particulier s'ils sont stockés en clair, une endpoint courante endpoint peut dégénérer en une prise de contrôle de l'agent et de tous les services connectés auxquels il peut accéder.

De nombreux rapports sur les vol d'informations et les menaces ont évoqué malware volant des identifiants et malware des données locales sur les applications et les configurations ; leur couverture et leurs spécificités varient au fil du temps. Source de la capture d'écran : HudsonRock

Dans d'autres cas, les attaquants ne touchent jamais directement l'hôte, ils arrivent par le biais d'extensions et d'intégrations fiables.

Abus de la chaîne d'approvisionnement, plugins et extensions malveillantes

Le modèle de plugin de Clawdbot introduit un autre vecteur d'accès initial. Les extensions s'exécutent sous forme de code sur la même machine que l'agent et héritent de ses autorisations. Un plugin malveillant, ou un plugin légitime compromis, fonctionne comme une exécution instantanée de code à distance. L'agent devient alors le mécanisme de diffusion.

Au-delà du logiciel principal, les pirates ont également exploité l'écosystème environnant. Une fausse extension Clawdbot VS Code a récemment été utilisée pour installer le cheval de Troie d'accès à distance ScreenConnect, tirant parti de la confiance des développeurs dans le nom du projet pour obtenir un contrôle à distance total. L'extension semblait légitime, arborait la bonne marque et s'appuyait sur le timing et la notoriété du nom plutôt que sur une vulnérabilité logicielle.

La fausse extension ClawdBot. Source : Aikido

Ce type d'attaque devient plus efficace lors des changements de marque. Lorsque les noms de projet, les référentiels et les domaines changent rapidement, les attaquants exploitent la confusion en publiant des référentiels ou des extensions similaires qui semblent légitimes. La compromission se produit souvent avant que le code ne soit examiné, car la confiance est supposée sur la base du nom et du timing.

La défense consiste ici moins à corriger les failles qu'à vérifier l'identité. Après un changement de marque, les installations doivent être limitées à l'organisation GitHub officielle et au domaine du projet. Les référentiels nouvellement créés ou sponsorisés méritent une attention particulière, et les plugins ou compétences doivent être limités à des listes d'autorisation sélectionnées.

Il en va de même pour les outils de développement. Pour les extensions d'éditeur, vérifiez l'éditeur, consultez l'historique et la fréquence des mises à jour, et vérifiez les hachages ou les signatures lorsqu'ils sont disponibles. Dans cet écosystème, la confiance dans la chaîne d'approvisionnement fait partie intégrante de la sécurité.

Une fois qu'une extension malveillante est installée, aucune autre exploitation n'est nécessaire et le contrôle s'effectue immédiatement.

Commandement et contrôle : transformer l'agent en canal C2

Si un pirate accède à l'interface utilisateur de contrôle ou à tout canal pouvant exécuter des outils, Clawdbot devient lui-même le cadre de commande et de contrôle. Grâce à l'interface de contrôle ou à l'API, il peut émettre des commandes shell, collecter des données et opérer de manière interactive. Le risque n'est pas que Moltbot compromette la sécurité par magie, mais plutôt qu'un agent compromis dispose déjà de voies d'exécution, de persistance et de communication intégrées.

Capture d'écran de Clawdbot divulguant diverses clés API en texte clair. Source : X

Abus des intégrations légitimes

Clawdbot peut envoyer des messages via Slack, Telegram, e-mail et d'autres plateformes à l'aide d'identifiants légitimes. Les pirates peuvent exploiter ces intégrations pour exfiltrer des données ou recevoir des instructions, en se fondant parfaitement dans le trafic normal. Du point de vue de la détection, cela ressemble à un comportement d'automatisation normal, et non à du trafic C2.

Homme au milieu au niveau de la couche cognitive

Si un pirate parvient à modifier la configuration, les invites ou la mémoire stockée de l'agent (par exemple après avoir obtenu l'accès au système de fichiers), il peut tenter d'influencer ce que l'utilisateur voit et ce que fait l'agent.

Dans la pratique, cela pourrait se traduire par la modification des résumés, la suppression des alertes ou l'insertion d'instructions cachées qui se déclencheraient ultérieurement. Il vaut mieux considérer cela comme un résultat potentiel d'un compromis, et non comme une fonctionnalité garantie dans une configuration correctement isolée.

Le contrôle de l'agent fait également tomber les frontières traditionnelles des privilèges.

Élévation des privilèges et utilisation abusive des identifiants

Si Clawdbot s'exécute en tant qu'utilisateur standard, les pirates peuvent l'utiliser pour mettre en œuvre des techniques traditionnelles d'élévation des privilèges. Dans de nombreux déploiements, l'élévation n'est pas nécessaire, car l'agent s'exécute déjà avec des autorisations élevées, en particulier dans les configurations conteneurisées ou mono-utilisateur.

Source : X

Clawdbot centralise les identifiants par conception. Les clés API, les jetons OAuth, les identifiants de chat, cloud et parfois les accès VPN sont tous regroupés au même endroit. Une fois collectés, ces identifiants permettent aux pirates de se faire passer pour des utilisateurs, d'accéder cloud et de se déplacer latéralement sans toucher à nouveau au système d'origine.

Dans les environnements hybrides, cet impact est décuplé. Un agent compromis exécuté sur un ordinateur portable peut exposer l'accès SaaS de l'entreprise. Un agent exécuté dans le cloud détenir des autorisations IAM qui permettent aux attaquants de créer une infrastructure, d'accéder à des magasins de données ou de falsifier des pipelines CI/CD. L'agent devient alors un pont entre des environnements qui n'étaient pas censés être directement connectés.

Une fois l'accès sécurisé, les attaquants s'efforcent de rester sur place sans se faire remarquer.

Persistance : lorsque l'agent se souvient de l'attaquant

Comme les agents conservent souvent leur état à long terme sur le disque, un hôte compromis peut transformer cet état en persistance. Si un attaquant peut écrire dans la mémoire ou la configuration de l'agent, il peut laisser derrière lui des instructions ou des artefacts qui survivent aux redémarrages et continuent à causer des actions nuisibles jusqu'à ce que le système soit reconstruit et que les secrets soient renouvelés.

Clawdbot étant conçu pour fonctionner en continu et exécuter des tâches selon un calendrier défini, les pirates peuvent y intégrer des actions récurrentes. L'exfiltration de données, l'énumération du système ou les communications sortantes peuvent être déclenchées automatiquement, sans autre interaction.

Grâce à l'accès shell, les pirates peuvent également recourir à des méthodes classiques de persistance, telles que les tâches planifiées, les scripts de démarrage ou des portes dérobées supplémentaires. La différence réside dans le fait que Clawdbot dissimule souvent ces actions derrière une automatisation légitime, ce qui complique l'analyse forensic.

Les véritables dommages commencent lorsque l'agent compromis est utilisé comme passerelle vers tout le reste.

Mouvement latéral et impact plus large

À partir d'un seul agent compromis, les pirates peuvent analyser les réseaux internes, réutiliser les identifiants et se déplacer latéralement. Et comme Clawdbot s'étend souvent cloud personnels, professionnels et cloud , la compromission d'un domaine entraîne souvent la compromission des trois.

Les jetons volés permettent aux pirates informatiques de s'introduire dans les plateformes SaaS, les outils de collaboration internes et cloud . Ils peuvent usurper l'identité des utilisateurs, envoyer des messages fiables et étendre leur accès via les réseaux sociaux, que les défenseurs surveillent rarement comme voies d'attaque.

Dans les cas extrêmes, les pirates peuvent utiliser Clawdbot pour déployer des ransomwares, détruire des données ou saboter des opérations. L'agent dispose déjà d'un accès aux fichiers, de droits d'exécution et de canaux de communication. Chaque action destructrice n'est qu'une « tâche » supplémentaire à accomplir pour l'assistant.

Pris ensemble, ces comportements révèlent un changement plus général dans la manière dont les attaques modernes se déroulent.

Quand l'automatisation devient une surface d'attaque

Clawdbot incarne à la fois les promesses et les risques de l'IA autonome. Il offre une automatisation puissante, mais cette même autonomie crée une surface d'attaque à forte valeur ajoutée. Les interfaces exposées, les entrées malveillantes et malware adaptés malware aux attaquants de détourner l'agent à des fins de commande et de contrôle, d'abus de privilèges, de persistance et de mouvement latéral. Ces techniques brouillent la frontière entre les voies d'intrusion traditionnelles et les abus liés à l'IA, avec des répercussions sur les systèmes personnels, cloud et les réseaux d'entreprise. Un agent compromis peut permettre tout type d'attaque, du vol de données ciblé au ransomware à grande échelle, en fonction de ce à quoi il est connecté.

Clawdbot/Moltbot doit être considéré comme une infrastructure hautement privilégiée, et non comme une expérience occasionnelle menée pendant le week-end, car il centralise les identifiants et peut exécuter des actions sur plusieurs comptes et appareils. Une authentification forte, une exposition réseau restreinte et une gestion prudente des secrets sont indispensables. Les organisations doivent avoir une visibilité sur l'endroit où ces agents s'exécutent, appliquer une segmentation et surveiller les comportements anormaux tels que les actions non sollicitées ou les communications inattendues. L'injection rapide ajoute une couche de risque supplémentaire, où les abus peuvent être invisibles à moins que le comportement de l'agent lui-même ne soit surveillé.

Clawdbot se comporte comme un superutilisateur fantôme au sein de l'environnement. À mesure que les agents autonomes se généralisent, la leçon à tirer est simple : une capacité sans contrôle est synonyme d'exposition. Il incombe désormais aux utilisateurs et aux équipes de sécurité de sécuriser ces agents avant que des pirates ne le fassent à leur place.

Comprendre cette évolution n'est que la première étape. Pour réduire les risques, il faut traiter Moltbot comme n'importe quel autre système privilégié et appliquer des contrôles délibérés en matière d'exposition, d'identité, d'exécution et de surveillance.

Comment réduire les risques lors de l'exécution de Moltbot

Les agents autonomes ne tombent pas en panne de manière élégante. Une fois déployés avec un accès étendu, de petites erreurs de configuration peuvent avoir un impact disproportionné. L'objectif du renforcement n'est pas de rendre Moltbot « sûr », mais de limiter le rayon d'action, de réduire l'exposition et de rendre les abus détectables.

1. Liste de contrôle pour le renforcement de la base de référence

Zone Valeur par défaut sécurisée Pourquoi est-ce important ?
Contrôle de l'accès à l'interface utilisateur Se connecter à localhost. Accès uniquement via un tunnel SSH ou un VPN. Jamais public par défaut. Empêche la découverte sur Internet et réduit le risque de force brute ou de contournement de l'authentification.
Proxy inverse Configurez des proxys fiables et des adresses IP réelles de clients. Ne traitez jamais tout le trafic proxy comme s'il provenait d'un hôte local. Évite les erreurs de « remote looks local » qui font tomber les barrières d'authentification.
Canaux (Telegram, Discord, etc.) Liste blanche par défaut pour les utilisateurs, les serveurs et les canaux. Désactiver les messages privés publics. Empêche les canaux de devenir des déclencheurs à distance pour des actions hautement privilégiées.
Outils et autorisations du système d'exploitation Exécutez sans droits root. Pas de Docker privilégié. Pas de montages hôte. Demandez une confirmation pour les actions shell, d'écriture de fichiers et de navigateur. Limite le rayon d'action si l'agent est trompé ou si une interface utilisateur ou un canal est utilisé de manière abusive.

2. Isolation de l'hôte et de l'infrastructure

  • N'exposez pas l'interface utilisateur de contrôle à l'Internet public. Préférez un VPN tel que Tailscale ou WireGuard, ou un tunnel SSH vers localhost. Isolez l'agent des charges de travail de production.
  • N'exécutez pas Moltbot sur le même VPS qui héberge les services backend, les bases de données ou les fichiers personnels.
  • Renforcez la sécurité SSH sur n'importe quel VPS. Désactivez l'authentification par mot de passe et la connexion root, utilisez uniquement des clés, et activez les règles de pare-feu ainsi que la limitation du débit ou fail2ban.
  • Exécutez l'agent en tant qu'utilisateur non root. Évitez les conteneurs privilégiés et ne montez jamais le système de fichiers hôte ou le socket Docker.
  • Appliquez régulièrement les correctifs. Appliquez les mises à jour du système d'exploitation, actualisez les images des conteneurs et renouvelez régulièrement les clés à longue durée de vie.

3. Contrôle de l'interface utilisateur et configuration de la passerelle

  • Lie la passerelle et l'interface utilisateur de contrôle à 127.0.0.1, sauf si l'accès à distance est strictement nécessaire.
  • Activez l'authentification de l'interface utilisateur de contrôle et vérifiez les paramètres du proxy inverse afin que les clients distants ne soient pas traités comme des hôtes locaux.
  • Enregistrez et signalez les nouveaux appariements d'appareils, les modifications de configuration et les événements d'exécution d'outils.

4. Canaux et intégrations

  • Utilisez des listes d'autorisation strictes pour déterminer qui peut envoyer des messages au bot. La valeur par défaut doit être « refuser par défaut ».
  • Désactivez ou limitez les outils à haut risque tels que l'accès au shell, l'écriture de fichiers et l'automatisation du navigateur, sauf en cas d'absolue nécessité.
  • Utilisez des comptes distincts avec des champs d'application aux privilèges minimaux pour les intégrations, tels que des comptes Gmail dédiés, des champs d'application Slack bot restreints et des jetons GitHub limités.
  • Traitez les codes QR et les URI reliant les appareils comme des mots de passe. Ne laissez pas les artefacts d'appairage dans des emplacements accessibles à tous et, s'ils sont exposés, procédez à une rotation ou à une nouvelle liaison.
  • Préférez les comptes bot par service et limitez l'exposition. Évitez les serveurs Discord publics et verrouillez les messages directs à une liste blanche.

5. Secrets et traitement des données

Il s'agit des emplacements par défaut courants à auditer sur votre hôte. Traitez-les comme des informations sensibles et verrouillez les autorisations :

Zone Commandes principales
Isolation des hôtes et des infrastructures
  • N'exposez pas l'interface utilisateur de contrôle à l'Internet public. Préférez un VPN (Tailscale, WireGuard) ou un tunnel SSH vers localhost.
  • Isolez l'agent des charges de travail de production. N'exécutez pas Moltbot sur le même VPS que les services backend, les bases de données ou les fichiers personnels.
  • Renforcez la sécurité SSH sur n'importe quel VPS. Désactivez l'authentification par mot de passe et la connexion root, utilisez uniquement des clés, et activez les règles de pare-feu ainsi que la limitation du débit ou fail2ban.
  • Exécutez l'agent en tant qu'utilisateur non root. Évitez les conteneurs privilégiés et ne montez jamais le système de fichiers hôte ou le socket Docker.
  • Appliquez régulièrement les correctifs. Appliquez les mises à jour du système d'exploitation, actualisez les images des conteneurs et renouvelez régulièrement les clés à longue durée de vie.
Interface utilisateur de contrôle et configuration de la passerelle
  • Lie la passerelle et l'interface utilisateur de contrôle à 127.0.0.1, sauf si l'accès à distance est strictement nécessaire.
  • Activez l'authentification de l'interface utilisateur de contrôle et vérifiez les paramètres du proxy inverse afin que les clients distants ne soient pas traités comme des hôtes locaux.
  • Enregistrez et signalez les nouveaux appariements d'appareils, les modifications de configuration et les événements d'exécution d'outils.
Canaux et intégrations
  • Utilisez des listes d'autorisation strictes pour déterminer qui peut envoyer des messages au bot. La valeur par défaut doit être « refuser par défaut ».
  • Désactivez ou limitez les outils à haut risque tels que l'accès au shell, l'écriture de fichiers et l'automatisation du navigateur, sauf si cela est nécessaire.
  • Utilisez des comptes distincts avec des champs d'application aux privilèges minimaux pour les intégrations, tels que des comptes Gmail dédiés ou des champs d'application restreints pour les bots Slack.
  • Traitez les codes QR et les URI reliant les appareils comme des mots de passe. Changez-les ou reliez-les à nouveau s'ils sont exposés.
  • Préférez les comptes bot par service. Évitez les serveurs Discord publics et verrouillez les messages directs à une liste blanche.
Secrets et traitement des données Traitez les chemins d'accès aux agents et les fichiers de configuration par défaut comme des informations sensibles. Verrouillez les autorisations d'accès aux fichiers, cryptez le stockage lorsque cela est possible, renouvelez régulièrement les jetons après leur exposition et limitez la conservation des journaux et de l'historique des conversations.

Contrôles supplémentaires :

  • Traitez l'agent comme un gestionnaire de secrets. Verrouillez les autorisations d'accès aux fichiers et cryptez le stockage lorsque cela est possible.
  • Faites tourner et révoquez les jetons de manière agressive après toute exposition suspectée. Préférez les jetons OAuth à courte durée de vie aux clés API à longue durée de vie.
  • Limitez la conservation de l'historique des conversations et des pièces jointes. La valeur par défaut est de 7 à 14 jours pour les journaux de session, qui sont renouvelés ou supprimés chaque semaine, avec un chiffrement au repos si une conservation plus longue est nécessaire.

6. Injection rapide et contenu non fiable

  • Considérez que tout e-mail, document, page Web ou message instantané peut contenir des instructions malveillantes.
  • Ne permettez pas à du texte non fiable de déclencher directement des commandes shell ou des exportations d'identifiants.
  • Utilisez des politiques d'outils par canal. Par exemple, autorisez la synthèse sur les e-mails ou Slack, mais interdisez les actions shell ou d'écriture de fichiers depuis Telegram ou Discord.
  • Exiger une confirmation humaine pour les actions à haut risque telles que l'exécution de commandes, l'exportation de fichiers, la modification de paramètres ou le lancement de connexions.
  • Considérez l'automatisation du navigateur comme très risquée. Utilisez un profil de navigateur distinct et déconnecté pour l'agent et ne réutilisez jamais une session personnelle.
  • Une méthode utile consiste à associer le marquage de l'origine du contenu à une politique par outil et à une confirmation obligatoire pour les outils à haut risque.

7. Surveillance et détection, couverture minimale viable

ATT&CK : abréviation pour les défenseurs

  • Accès initial : exposition de l'interface utilisateur de contrôle ou abus de la chaîne d'approvisionnement
  • Exécution : invocations de shell et d'outils
  • Accès aux informations d'identification : jetons locaux et fichiers de configuration
  • Persistance : configurations modifiées, mémoire ou plugins
  • Commandement et contrôle : canaux de discussion
  • Exfiltration : téléchargements et webhooks

Signaux minimaux à surveiller

  • Contrôlez les échecs d'authentification de l'interface utilisateur, les nouveaux appariements d'appareils et les modifications de configuration.
  • Invocations d'outils telles que l'exécution de scripts shell, la lecture et l'écriture de fichiers, l'automatisation du navigateur et les téléchargements sortants.
  • Modifications inattendues du système de fichiers sous ~/.clawdbot/* et l'espace de travail de l'agent
  • Activité réseau telle que nouveaux domaines sortants, pics de messagerie ou trafic webhook inhabituel
  • Signaux hôtes tels que les journaux de pare-feu sur les ports Moltbot, les événements de connexion SSH et les processus enfants inhabituels.

8. Si vous soupçonnez une exposition : réagissez rapidement

  • Arrêtez le service et conservez les preuves. Effectuez un instantané de la machine virtuelle ou du conteneur et collectez les journaux système ainsi que ~/.clawdbot/*.
  • Faites tourner et révoquez les informations d'identification. Remplacez les jetons, révoquez les sessions OAuth, faites tourner les clés SSH et réémettez les clés API à longue durée de vie.
  • Invalidez les chemins d'accès. Désactivez les canaux exposés, réinitialisez les listes d'autorisation et modifiez les identifiants ou mots de passe de l'interface utilisateur de contrôle.
  • Effacez l'historique sensible lorsque cela est approprié. Purgez les transcriptions de session si elles contiennent des secrets, puis appliquez une conservation courte.
  • En cas de doute, reconstruisez. Si l'hôte était accessible sans authentification forte ou si l'exécution de commandes est suspectée, reconstruisez à partir d'une image propre et reliez soigneusement les canaux.
  • Points de persistance post-vérification tels que les services systemd, crontab, les clés autorisées SSH et les plugins ou extensions installés.

À retenir

  1. Traitez Moltbot comme une infrastructure privilégiée. Il détient des secrets, exécute des commandes et communique via des canaux fiables.
  2. La plupart des échecs sont dus à des problèmes de configuration, et non à des exploits. Les interfaces utilisateur publiques, les paramètres de proxy faibles, les canaux ouverts et les outils trop puissants sont à l'origine de la majorité des incidents.
  3. L'identité fait partie de la surface d'attaque. Ne faites confiance qu'aux organisations, domaines et extensions officiels, en particulier lors des changements de marque.
  4. Si vous ne pouvez pas le sécuriser, ne l'exposez pas. Conservez l'interface utilisateur de contrôle sur localhost ou VPN, limitez les canaux et exigez une confirmation pour les actions risquées.

Pour se défendre contre ce modèle, il faut avoir une visibilité sur les comportements, et pas seulement sur les actifs. C'est là qu'intervient la Vectra AI devient essentielle, car elle permet aux équipes de sécurité de détecter les comportements des attaquants qui apparaissent lorsque l'automatisation de confiance est détournée dans les environnements d'identité, réseau, cloud et hybrides, avant que ces comportements ne dégénèrent en une compromission totale.

---

Sources :

  • Consignes officielles de sécurité Moltbot/Clawdbot (renforcement, proxy inverse, authentification) : https://docs.clawd.bot/gateway/security
  • Site officiel du projet : https://molt.bot (également https://clawd.bot)
  • Référentiel/organisation GitHub officiel : https://github.com/moltbot/clawdbot (page de l'organisation : https://github.com/clawdbot/)
  • Article pédagogique de Chirag (@mrnacknack) sur les erreurs de configuration courantes et les chemins d'injection de prompt (à utiliser comme contexte secondaire) : https://x.com/mrnacknack/article/2016134416897360212 (voir également les fils de discussion de @theonejvo).
  • Couverture par Cointelegraph des cas exposés et des risques de fuite d'identifiants (via TradingView mirror) : https://www.tradingview.com/news/cointelegraph:99cbc6b7d094b:0-viral-ai-assistant-clawdbot-risks-leaking-private-messages-credentials/
  • Résumé de Binance News sur le détournement de GitHub/X et la confusion autour de l'arnaque aux jetons : https://www.binance.com/en/square/post/01-27-2026-clawdbot-founder-faces-github-account-hijack-by-crypto-scammers-35643613762385
  • Chronologie de la communauté DEV concernant la vague de changements de nom et d'usurpations d'identité frauduleuses : https://dev.to/sivarampg/from-clawdbot-to-moltbot-how-a-cd-crypto-scammers-and-10-seconds-of-chaos-took-down-the-internets-hottest-ai-project-4eck
  • Analyse de sécurité Aikido d'une fausse extension Clawdbot VS Code :malware
  • Journal des modifications du projet (pour suivre les modifications liées à la sécurité) : https://github.com/clawdbot/clawdbot/blob/main/CHANGELOG.md
  • Rapport secondaire sur l'intérêt des voleurs d'informations pour les écosystèmes Clawdbot/Moltbot (indicatif, non définitif) : https://www.infostealers.com/article/clawdbot-the-new-primary-target-for-infostealers-in-the-ai-era/

Foire aux questions