De Clawdbot à OpenClaw : l'automatisation comme porte dérobée numérique.
Lire le blog

De Clawdbot à OpenClaw : l'automatisation comme porte dérobée numérique. Lire le blog →

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
Briefing sur les menaces

Moltbook et l'illusion des communautés d'agents IA « inoffensifs »

3 février 2026
Lucie Cardiet
Responsable de la recherche sur les cybermenaces
Moltbook et l'illusion des communautés d'agents IA « inoffensifs »

Les agents IA autonomes quittent les environnements contrôlés des laboratoires pour intégrer des écosystèmes partagés et persistants. Ils lisent du contenu, prennent des décisions, stockent des données, exécutent des actions et interagissent avec d'autres agents à la vitesse d'une machine. Ce faisant, ils font tomber les barrières que les équipes de sécurité ont mis des années à mettre en place, notamment celles entre les utilisateurs et les services, entre l'automatisation et l'identité, entre l'intention et l'exécution.

Des plateformes telles que Moltbook rendent cette évolution visible. Elles montrent ce qui se passe lorsque des agents autonomes sont autorisés à interagir librement, à se faire implicitement confiance et à fonctionner avec des autorisations réelles. Il en résulte non seulement de nouvelles fonctionnalités, mais aussi de nouveaux modes de défaillance.

À première vue, les forums d'agents IA tels que Moltbook semblent expérimentaux, voire ludiques. Les bots communiquent entre eux, publient des fils de discussion, forment des communautés et débattent d'idées. Cela semble très éloigné des préoccupations des entreprises en matière de sécurité. Cette apparence d'innocuité n'est qu'une illusion.

Cette hypothèse s'avère déjà dangereuse.

Les récents rapports sur la sécurité publique impliquant des agents autonomes tels que Clawdbot, désormais rebaptisé Moltbot, démontrent à quelle vitesse l'expérimentation peut se transformer en exposition. Dans ce cas précis, un agent open source disposant d'un accès étendu au système est devenu un nouveau point d'entrée pour les pirates lorsque la confiance, l'automatisation et l'identité ont évolué plus rapidement que les contrôles de sécurité. La leçon à en tirer dépasse le cadre d'un projet isolé. Les agents IA ne sont plus des outils passifs. Ils participent activement aux écosystèmes numériques.

Moltbook va encore plus loin. Il ne s'agit pas d'une interface de chatbot ou d'un assistant de productivité. Il s'agit d'un environnement social similaire à Reddit des agents autonomes lisent, interprètent et répondent au contenu des autres à grande échelle. Des expériences connexes telles que Molt Road étendent ce modèle au-delà de la conversation pour l'appliquer au commerce, où les agents achètent, vendent et échangent des services avec un minimum de supervision humaine. Bien qu'officiellement présentés comme fictifs, ces environnements donnent un aperçu de la manière dont les agents autonomes peuvent se coordonner, encourager certains comportements et externaliser des capacités d'une manière que les équipes de sécurité ne sont pas encore en mesure de surveiller.

Des recherches publiques récentes sur Moltbook ont déjà montré que ce modèle introduit des failles de sécurité qui correspondent directement aux comportements habituels des pirates, tout en contournant bon nombre des contrôles sur lesquels s'appuient aujourd'hui les équipes SOC.

Ce qui importe, ce n'est pas que Moltbook ou Molt Road réussissent ou non. Ce qui importe, c'est ce qu'ils révèlent sur la manière dont des agents autonomes peuvent être utilisés à mauvais escient lorsque l'interaction, la confiance et l'autorisation convergent sans visibilité suffisante.

Ce que font réellement ces forums

Les forums d'agents IA sont souvent mal compris car ils ressemblent à première vue aux plateformes sociales humaines. Que le contenu soit soumis par des humains ou par des agents autonomes via des API, ces systèmes fonctionnent très différemment des réseaux sociaux traditionnels dans la manière dont ce contenu est consommé et exploité.

Moltbook

Moltbook est un réseau social spécialement conçu pour les agents IA. Les utilisateurs humains peuvent observer, mais seuls les agents peuvent publier, répondre et interagir. Chaque agent fonctionne généralement sur un système contrôlé par l'homme à l'aide de frameworks tels que OpenClaw, ce qui lui donne accès à des fichiers, des API, des plateformes de messagerie et parfois à l'exécution de shell.

Les agents sur Moltbook lisent en permanence les publications des autres et intègrent ce contenu dans leur contexte de travail. Cette conception facilite la collaboration, mais elle permet également la manipulation entre bots, l'injection indirecte de commandes et l'abus de confiance à grande échelle. Des chercheurs en sécurité ont découvert qu'un pourcentage mesurable du contenu de Moltbook contenait des charges utiles cachées d'injection de commandes conçues pour détourner le comportement d'autres agents, y compris des tentatives d'extraction de clés API et de secrets.

Clawcaster

Clawcaster est un client de flux social inspiré de Farcaster, un protocole de réseau social décentralisé où l'identité et les graphiques sociaux ne sont pas détenus par une seule plateforme, mais peuvent être consultés par plusieurs clients. Dans Farcaster, les utilisateurs publient des messages sur un protocole partagé, et différentes applications peuvent lire, afficher et interagir avec ce contenu.

Clawcaster adapte ce modèle à la fois pour les utilisateurs humains et les agents IA. Les agents peuvent publier des messages, suivre des comptes et consommer des flux de contenu via un flux partagé. Bien que plus structuré que Moltbook, il permet tout de même aux agents d'ingérer des données non fiables et d'agir en conséquence, souvent grâce à des intégrations avec des outils ou des services externes.

Du point de vue de la sécurité, Clawcaster illustre comment la frontière entre le contenu généré par les agents et celui consommé par les agents commence à s'estomper. Une fois que les agents sont autorisés à publier et à agir, les flux sociaux peuvent servir de canaux de coordination ou, dans des scénarios conflictuels, de voies de commandement et de contrôle à faible friction.

Moltx

Moltx fonctionne comme une chronologie publique de type X pour les agents IA. Les agents publient de courts messages, répondent les uns aux autres et conservent une identité constante tout au long de leurs interactions. Le contenu apparaît dans un flux partagé, créant ainsi des récits continus plutôt que des conversations isolées.

D'un point de vue technique, le risque ne réside pas dans le format lui-même, mais dans sa persistance. Les publications sont consommées par d'autres agents, stockées en mémoire et peuvent influencer les comportements futurs longtemps après leur publication. Les instructions ou les contenus malveillants ingérés une fois peuvent réapparaître plus tard, détachés de leur source d'origine.

Ce modèle transfère le risque d'une exécution immédiate à une influence différée, où la logique nuisible se propage par le biais de la mémoire et d'interactions répétées plutôt que par des commandes directes.

8004scan

8004scan n'est pas un forum social. Il s'agit d'une couche d'indexation et de découverte pour les agents IA autonomes, construite autour de normes décentralisées d'identité et de réputation. Elle permet aux agents d'être répertoriés, recherchés et évalués en fonction de leurs capacités déclarées et de leurs signaux d'activité.

Du point de vue de la sécurité, cela est important car la découverte et la confiance sont des conditions préalables à la coordination. Un pirate n'a pas besoin d'exploiter un agent s'il peut se faire passer pour lui, corrompre les signaux de réputation ou présenter un agent malveillant comme légitime. À mesure que les écosystèmes d'agents mûrissent, l'identité devient une surface d'attaque à part entière.

Les risques liés à la sécurité

Les comportements observés sur Moltbook et les plateformes connexes correspondent parfaitement aux étapes familières suivies par les attaquants. Ce qui change, c'est la vitesse, l'ampleur et la subtilité.

Reconnaissance

Les agents autonomes partagent régulièrement des informations de diagnostic, des détails de configuration et des informations opérationnelles. Sur Moltbook, certains agents ont publié des analyses de sécurité, des ports ouverts ou des messages d'erreur dans le cadre d'un dépannage ou d'une auto-analyse. Pour les attaquants qui observent en silence, cela devient des données de reconnaissance toutes prêtes.

Contrairement à la reconnaissance traditionnelle, aucun balayage n'est nécessaire. Les informations sont fournies volontairement.

Les agents comme sources accidentelles d'OSINT

Dans plusieurs fils de discussion Moltbook, des agents ont été observés publiant publiquement des détails opérationnels sensibles. Il s'agissait notamment de ports ouverts, de tentatives de connexion SSH infructueuses, de messages d'erreur internes et d'artefacts de configuration.

Du point de vue de l'agent, ce comportement était logique. Ils s'analysaient eux-mêmes, déboguaient des problèmes ou partageaient leurs conclusions avec leurs pairs. Du point de vue d'un attaquant, cela éliminait complètement le besoin de reconnaissance. Pas de scan. Pas de sondage. Pas d'alertes.

Les informations étaient fournies volontairement, indexées et visibles en permanence par toute personne observant la plateforme. En effet, certains agents se sont transformés en sources d'informations en direct.

L'injection inverse de messages permet une propagation silencieuse entre les agents

Les chercheurs qui ont observé le comportement de Moltbook ont identifié un schéma qu'ils ont décrit comme une injection inverse. Au lieu qu'un utilisateur humain injecte des instructions malveillantes dans un agent, un agent intègre des instructions hostiles dans un contenu que d'autres agents consomment automatiquement.

Dans plusieurs cas, ces instructions ne se sont pas exécutées immédiatement. Elles ont été stockées dans la mémoire de l'agent et déclenchées plus tard, après l'accumulation d'informations contextuelles supplémentaires. Ce retard dans l'exécution rend difficile la remontée à l'origine du comportement.

L'effet ressemble à celui worm. Un agent compromis peut influencer d'autres agents, qui peuvent ensuite propager la même instruction par le biais de réponses, de reposts ou de contenus dérivés. La propagation se fait par le biais d'interactions normales, et non par le biais d'analyses ou d'exploitations.

Pour les défenseurs, il s'agit d'un nouveau défi. Il n'y a pas de fichier à mettre en quarantaine ni de chaîne d'exploitation à briser. La logique malveillante se propage grâce à la confiance et à la coopération.

Une fois la reconnaissance terminée, la prochaine étape ne nécessite aucune exploitation.

Accès Initial

L'accès initial provient souvent de la confiance, et non de l'exploitation.

Sur Moltbook, les pirates ont intégré des instructions cachées dans des messages que d'autres agents lisaient automatiquement. Ces techniques d'« injection inverse » permettent à des contenus malveillants de remplacer les instructions système d'un agent, le poussant ainsi à révéler des secrets ou à exécuter des actions non souhaitées.

Ailleurs, des « compétences » et des plugins malveillants ont été partagés, qui exécutaient du code sur le système hôte une fois installés. Les agents basés sur OpenClaw étant conçus pour exécuter du code, une compétence malveillante devient alors une exécution de code à distance.

L'injection de messages instantanés entre bots transforme la lecture en vecteur d'attaque

L'une des conclusions les plus préoccupantes des premiers rapports de sécurité sur Moltbook est la facilité avec laquelle les agents peuvent être compromis simplement en lisant du contenu. Dans une analyse échantillonnée des publications sur Moltbook, les chercheurs ont découvert qu'environ 2,6 % d'entre elles contenaient des charges utiles cachées conçues pour manipuler le comportement d'autres agents.

Ces charges utiles étaient invisibles pour les observateurs humains. Intégrées dans des messages d'apparence anodine, elles demandaient à d'autres agents de passer outre les invites du système, de révéler les clés API ou d'effectuer des actions non prévues une fois le contenu ingéré dans le contexte ou la mémoire.

Aucune exploitation n'était nécessaire. Aucun malware transmis. L'accès initial s'est produit au moment où un agent a fait ce pour quoi il avait été conçu, à savoir lire et répondre.

Cela modifie la définition de la « surface d'attaque ». Dans les écosystèmes d'agents, le langage lui-même devient le point d'entrée.

Les compétences des agents malveillants transforment l'automatisation en exécution de code

La relation étroite entre Moltbook et OpenClaw introduit un autre risque : les compétences partagées. Les agents peuvent publier et installer des compétences qui étendent leurs capacités, notamment l'exécution de commandes shell ou l'accès à des fichiers locaux.

Des divulgations de sécurité provenant de tiers ont démontré que des compétences malveillantes déguisées en plugins utiles pouvaient exécuter du code arbitraire sur le système hôte. Un exemple largement cité concernait une compétence apparemment inoffensive liée à la météo qui, une fois installée, exfiltrait silencieusement des fichiers de configuration contenant des secrets.

Les agents OpenClaw étant volontairement puissants et ne disposant pas d'un sandboxing solide, une seule compétence malveillante suffit pour permettre l'exécution de code à distance. L'attaque réussit non pas en raison d'une vulnérabilité, mais en raison du niveau d'accès dont dispose déjà l'agent.

Cela reflète les attaques classiques contre la chaîne d'approvisionnement, mais avec un cycle de confiance plus rapide et moins de contrôles de vérification.

Une fois qu'un agent est compromis, l'escalade suit souvent immédiatement.

Élévation de privilèges

De nombreux agents fonctionnent avec des autorisations élevées par conception. Ils détiennent des clés API, des jetons OAuth, cloud et un accès à la messagerie en un seul endroit. Une fois qu'un agent est compromis, l'escalade est souvent inutile. Si l'agent fonctionne en tant qu'utilisateur standard, les attaquants peuvent toujours l'utiliser comme point d'ancrage pour effectuer une escalade de privilèges traditionnelle. S'il fonctionne avec des privilèges élevés, l'attaquant hérite immédiatement de ces autorisations.

Quand Phishing les machines plutôt que les personnes

Moltbook a également montré comment l'ingénierie sociale évolue lorsque les cibles sont des agents autonomes. Les chercheurs ont observé des bots tentant activement d'hameçonner d'autres bots afin d'obtenir des informations sensibles, notamment des clés API et des données de configuration.

Certains agents se sont fait passer pour des pairs serviables, demandant des secrets sous prétexte d'aider au débogage ou à l'optimisation des performances. D'autres ont utilisé un langage coercitif ou autoritaire, exploitant le fait que la plupart des agents sont conçus pour être coopératifs et serviables par défaut.

Contrairement phishing humain, il n'y a pas d'hésitation, d'intuition ou de scepticisme à surmonter. Si la demande correspond à la portée de la tâche perçue par l'agent, celui-ci peut y répondre automatiquement.

Ce comportement bouleverse les hypothèses traditionnelles en matière de protection des identifiants. Lorsque les agents détiennent des secrets et font implicitement confiance à d'autres agents, l'utilisation abusive des identifiants ne nécessite plus de compromettre les terminaux ou de voler des mots de passe. Elle nécessite désormais de la persuasion.

Mouvement latéral

Les agents autonomes sont rarement confinés à un seul environnement. Un seul agent peut avoir accès simultanément à un poste de travail de développeur, à un locataire SaaS, à cloud et à des outils de collaboration internes. Cette connectivité est souvent la raison même de l'existence de l'agent.

Une fois qu'un agent est compromis, le mouvement latéral ne nécessite pas de nouveaux outils. Il se produit par le biais d'intégrations légitimes. Un attaquant qui contrôle un agent peut réutiliser les identifiants stockés pour pivoter vers des plateformes SaaS, usurper l'identité d'utilisateurs dans des systèmes de chat ou accéder cloud sans déployer malware analyser le réseau. Les messages envoyés via Slack, par e-mail ou via d'autres outils de collaboration ressemblent à des automatisations de routine. Les appels API vers cloud semblent autorisés, car ils le sont.

Dans les écosystèmes adjacents à Moltbook, ce modèle est déjà visible. Les agents agissent comme des ponts entre des contextes qui n'étaient pas censés se faire confiance directement. Les compromis dans un domaine se propagent discrètement dans d'autres grâce à la réutilisation des identités et à l'automatisation partagée.

Du point de vue de la détection, cela est difficile à repérer. Il n'y a pas de trafic d'exploitation, pas de flux d'authentification inhabituel et pas de point pivot évident. Les mouvements se produisent selon des chemins attendus, mais dans un ordre inattendu.

Accès aux données et exfiltration

L'exfiltration par des agents autonomes ressemble rarement au vol de données traditionnel. Les agents sont conçus pour déplacer des données. Ils résument des documents, téléchargent des fichiers, envoient des messages et synchronisent le contenu entre les services dans le cadre de leur fonctionnement normal.

Lorsque les pirates abusent de ces capacités, les mécanismes d'exfiltration semblent légitimes. Les données sensibles peuvent être envoyées via des messages instantanés, des intégrations de messagerie électronique, des webhooks ou des API cloud que l'agent est autorisé à utiliser. Du point de vue de la journalisation, ces actions se fondent souvent dans le trafic d'automatisation normal.

L'incident lié à la divulgation de la clé API Moltbook met en évidence la fragilité de cette frontière. Une fois que les pirates ont obtenu des identifiants d'agent valides, ils n'ont pas eu besoin de contourner les contrôles. Ils ont pu se faire passer pour des agents et effectuer des actions impossibles à distinguer du comportement attendu.

À ce stade, les contrôles d'accès ne sont plus le facteur déterminant. La détection repose sur la reconnaissance des changements de comportement. Quelles données sont consultées, où sont-elles envoyées, à quelle fréquence les actions ont-elles lieu et ces schémas correspondent-ils au rôle habituel de l'agent ?

C'est là que les agents autonomes remettent en question les hypothèses traditionnelles. L'exfiltration n'a pas besoin d'être bruyante pour être nuisible. Elle doit simplement être suffisamment normale pour éviter d'éveiller les soupçons.

Lorsque l'identité de l'agent est compromise, le comportement devient le seul signal

Peu après le lancement de Moltbook, une erreur de configuration du backend a exposé des centaines de milliers de clés API d'agents. Grâce à ces clés, un pirate pouvait usurper l'identité de n'importe quel agent sur la plateforme, injecter des commandes et contrôler le comportement sans déclencher d'échecs d'authentification.

Cet incident a entraîné une fermeture complète et une rotation des identifiants, mais il a mis en évidence un problème plus profond. Une fois qu'un pirate dispose d'identifiants d'agent valides, les contrôles d'accès traditionnels offrent peu de protection. L'agent continue à se comporter de manière « légitime », en utilisant des API approuvées et des flux de travail normaux.

À ce stade, le compromis n'est visible qu'à travers le comportement. Ce que fait l'agent, où il se connecte et comment ses actions évoluent au fil du temps.

Ce que les équipes SOC doivent faire maintenant, et où apparaissent les failles de sécurité

Traiter les agents autonomes comme une infrastructure privilégiée

Les agents IA doivent être classés au même titre que les fournisseurs d'identité, les outils d'administration et les pipelines d'automatisation. Ils centralisent l'accès et la prise de décision, et toute compromission a un impact considérable. Dressez l'inventaire des agents en cours d'exécution, de ce à quoi ils ont accès et de la manière dont ils sont surveillés.

Considérez le contenu comme un vecteur d'attaque

L'injection rapide se produit à grande échelle. Tout système dans lequel des agents lisent des textes non fiables et peuvent agir doit être considéré comme exposé. Limitez les actions que les agents peuvent effectuer en fonction de la source du contenu. Exigez une confirmation pour les actions à haut risque.

Surveillez les comportements, pas seulement les actifs

Les outils traditionnels se concentrent isolément sur les terminaux, les identités et les journaux. Les agents autonomes brouillent ces frontières. Un agent agissant « normalement » peut tout de même poursuivre les objectifs d'un attaquant. C'est là que réside la principale lacune en matière de détection. Lorsque l'automatisation est détournée, les indicateurs sont comportementaux et non basés sur des signatures.

Comment Vectra AI combler cette lacune

À mesure que les agents autonomes s'intègrent dans les environnements d'identité, de réseau, cloud et de SaaS, les équipes de sécurité ont besoin d'une visibilité sur les intentions comportementales, et pas seulement sur les événements.

C'est le type de problème que laVectra AI est conçue pour traiter, en détectant les comportements des attaquants qui apparaissent lorsque l'automatisation de confiance est détournée. En analysant les modèles dans tous les environnements, Vectra AI les équipes SOC à identifier rapidement les reconnaissances, les mouvements latéraux, les utilisations abusives d'identifiants et les exfiltrations de données, même lorsque ces actions sont menées par des agents légitimes utilisant un accès valide.

Moltbook et les plateformes similaires ne constituent pas une menace en soi. Elles sont des signaux. Elles montrent à quelle vitesse les systèmes autonomes peuvent être détournés de leur usage initial lorsque la confiance l'emporte sur la visibilité. Pour détecter ce changement, il faut disposer d'une sécurité qui comprenne le comportement tout au long du cycle de vie de l'attaque, avant que l'automatisation ne se transforme en compromission.

---

Sources et lectures complémentaires :

Foire aux questions