Un mardi matin de janvier 2026, un chercheur en sécurité a publié un exploit proof-of-concept sur GitHub. Le titre était sobre : « OpenClaw WebSocket Origin Bypass ». L’impact, lui, ne l’était pas.
L’exploit était élégant dans sa simplicité. Un attaquant pouvait créer une page web malveillante avec quelques lignes de JavaScript. Quand un utilisateur d’OpenClaw visitait cette page — en cliquant sur un lien dans un e-mail, un message Slack, n’importe où — le JavaScript se connectait silencieusement à l’instance OpenClaw qui tournait sur sa machine locale et exécutait des commandes arbitraires. Aucune authentification requise. Aucune interaction utilisateur au-delà du clic. Accès total à la machine.
CVE-2026-25253 a obtenu un score de 8,8 sur l’échelle CVSS. La communauté sécurité l’a qualifié de critique. L’équipe OpenClaw l’a d’abord appelé une « limitation connue de l’architecture WebSocket ». L’écart entre ces deux descriptions dit tout sur la façon dont la crise s’est déroulée.
La chronologie
Le premier CVE est tombé le 14 janvier. En moins de 48 heures, des scans Shodan ont révélé plus de 42 000 instances OpenClaw publiquement exposées sur internet. Beaucoup étaient des déploiements d’entreprise avec accès aux systèmes de fichiers internes, aux bases de données et aux identifiants stockés dans des variables d’environnement.
Avant même que le premier patch soit publié, CVE-2026-26327 est arrivé : un contournement d’authentification permettant aux attaquants de sauter complètement le login sur les instances exposées. Deux vulnérabilités critiques en une semaine, toutes deux exploitables à distance, toutes deux affectant les mêmes 42 000+ instances exposées.
Puis la situation ClawHub a émergé. Des chercheurs en sécurité ont commencé à auditer le marketplace officiel de skills OpenClaw et ont trouvé que 41,7 % des skills publiées contenaient des vulnérabilités. Des centaines de skills malveillantes avaient été silencieusement uploadées au cours des mois précédents. XDA Developers a publié un article intitulé « Please Stop Using OpenClaw ». Il est devenu viral.
Pourquoi ce n’était pas juste de la malchance
Ces vulnérabilités n’étaient pas aléatoires. Elles étaient la conséquence prévisible de décisions architecturales spécifiques prises des années plus tôt, quand OpenClaw était un projet de week-end et que la sécurité n’était pas la priorité principale.
Le modèle de confiance WebSocket était le premier problème. L’interface web d’OpenClaw accepte les connexions WebSocket sans valider l’en-tête Origin. C’est une classe de vulnérabilité bien documentée — Cross-Site WebSocket Hijacking — connue depuis 2012. Le correctif est simple : vérifier l’en-tête Origin. Mais le corriger dans OpenClaw aurait cassé l’écosystème de plugins. Alors ça a été reporté, encore et encore, jusqu’à devenir CVE-2026-25253.
Le deuxième problème était les permissions au niveau OS. Quand on installe une skill OpenClaw, elle tourne avec les mêmes permissions que le processus OpenClaw lui-même. Pas de sandboxing, pas de modèle de capacités. Chaque skill installée a implicitement accès à tout.
Le troisième problème était la chaîne d’approvisionnement JavaScript. Le node_modules d’OpenClaw contient plus de 1 200 packages. Les skills malveillantes sur ClawHub ont exploité ça via le typosquatting.
À quoi ressemble vraiment le « Secure by Design »
ZeroClaw a été construit avec un ensemble différent d’hypothèses. Pas « on ajoutera la sécurité plus tard » mais « les contraintes de sécurité façonnent l’architecture dès le premier jour ».
Le système d’ownership de Rust élimine des classes entières de vulnérabilités à la compilation. Buffer overflows, use-after-free, data races — ce ne sont pas des bugs à patcher en Rust, ce sont des erreurs de compilation.
Le gateway pairing remplace l’authentification par mot de passe pour l’accès distant. ZeroClaw exige un appairage cryptographique entre le client et le gateway. Un attaquant qui trouve votre instance ZeroClaw sur internet ne peut rien faire sans la clé d’appairage.
Le modèle allowlist deny-by-default signifie que chaque outil, chemin de fichier et endpoint réseau doit être explicitement autorisé. Par défaut : aucun accès.
L’architecture single binary élimine complètement la surface d’attaque de la chaîne d’approvisionnement. Pas de node_modules, pas de registre de packages.
Faire la migration
Si vous utilisez actuellement OpenClaw, commencez par sauvegarder vos données — l’historique des conversations et la configuration se trouvent dans `tilde/.openclaw/`.
Installez ZeroClaw avec une seule commande :
```bash curl -fsSL https://raw.githubusercontent.com/zeroclaw-labs/zeroclaw/main/scripts/bootstrap.sh | bash ```
Lancez d’abord l’outil de migration en mode dry-run :
```bash zeroclaw migrate openclaw --dry-run ```
Quand vous êtes satisfait de l’aperçu, lancez la migration réelle :
```bash zeroclaw migrate openclaw ```
Cela transfère votre mémoire, votre configuration et vos paramètres de canaux. Le processus complet prend généralement moins de dix minutes.
Ce que l’industrie devrait retenir
Les agents IA gèrent des identifiants, accèdent à des systèmes de fichiers, exécutent du code et tournent 24h/24. Ce sont des infrastructures, pas des scripts. Ils ont besoin de la même rigueur sécurité que les serveurs web.
La sécurité ne peut pas être retrofitée sur une architecture permissive. Elle doit être conçue dès le départ. Quand ce n’est pas le cas, on obtient 42 000 instances exposées et un CVE à 8,8.
La question n’est pas de savoir si votre agent IA sera ciblé. C’est de savoir si votre architecture a été construite pour y résister.