Si vous évaluez des runtimes d’agents IA en 2026, vous avez probablement déjà remarqué que le paysage est très différent de ce qu’il était il y a un an. OpenClaw, qui dominait l’espace pendant la majeure partie de 2024 et 2025, fait face à une sérieuse crise de sécurité. ZeroClaw s’est imposé comme l’alternative à la croissance la plus rapide. PicoClaw s’est taillé une niche pour les développeurs qui veulent quelque chose de minimal et hackable.
Choisir entre eux n’est pas juste une décision technique — c’est une déclaration sur ce que vous valorisez : taille de l’écosystème, performance, sécurité, simplicité, ou une combinaison de tout.
Les trois projets
OpenClaw est l’original. Il a démarré comme un projet TypeScript/Node.js en 2023, a grandi rapidement grâce à un écosystème de plugins actif, et compte maintenant plus de 300 000 étoiles GitHub. Il fait face actuellement à CVE-2026-25253 (RCE en un clic, CVSS 8,8) et CVE-2026-26327 (contournement d’authentification).
ZeroClaw est une réécriture native Rust qui privilégie la performance et la sécurité sur la taille de l’écosystème. Il utilise 4 Mo de RAM au repos, démarre en moins de 10 millisecondes, et se livre comme un binaire unique sans dépendances.
PicoClaw est un fork Python minimal qui a émergé du désir de la communauté d’avoir quelque chose de plus simple qu’OpenClaw. Son attrait : vous pouvez lire toute la codebase en une après-midi.
Performance : les chiffres qui comptent vraiment
| Métrique | OpenClaw | ZeroClaw | PicoClaw | |---------|----------|----------|----------| | RAM (repos) | ~1,2 Go | ~4 Mo | ~180 Mo | | Cold start | ~8 s | <10 ms | ~3 s | | Taille binaire | ~800 Mo (node_modules) | ~12 Mo | ~50 Mo (avec deps) | | Langage | TypeScript | Rust | Python | | Matériel min. | VPS 2 Go RAM | SBC à 10 € | VPS 512 Mo RAM |
Les chiffres de ZeroClaw ne sont pas du marketing — ils sont la conséquence directe des abstractions zéro-coût de Rust et de l’architecture single binary.
Sécurité : là où l’écart est le plus grand
OpenClaw fait face à deux CVE critiques. CVE-2026-25253 permet l’exécution de code à distance en un clic. CVE-2026-26327 permet le contournement d’authentification. Plus de 42 000 instances OpenClaw ont été trouvées publiquement exposées, et 41,7 % des skills sur ClawHub contenaient des vulnérabilités.
Le modèle de sécurité de ZeroClaw part d’hypothèses différentes. Le système d’ownership de Rust élimine les buffer overflows, les vulnérabilités use-after-free et les data races à la compilation. Le gateway pairing exige une authentification cryptographique. Le modèle allowlist deny-by-default signifie que les skills ne peuvent accéder qu’à ce qui leur a été explicitement accordé.
Support des canaux
| Canal | OpenClaw | ZeroClaw | PicoClaw | |-------|----------|----------|----------| | WhatsApp | Oui | Oui | Oui | | Telegram | Oui | Oui | Oui | | Discord | Oui | Oui | Oui | | Slack | Oui | Oui | Non | | Signal | Communauté | Oui | Non | | Matrix | Communauté | Oui | Non | | IRC | Communauté | Oui | Non | | Lark/DingTalk | Communauté | Oui | Non | | Interface web | Intégrée | Via gateway | Basique | | Total | 15+ | 30+ | 5 |
Support des fournisseurs IA
Les trois supportent les principaux fournisseurs : OpenAI, Anthropic, Google et Ollama pour les modèles locaux. ZeroClaw supporte en plus Groq, xAI, Mistral, DeepSeek et Perplexity. Changer de fournisseur dans ZeroClaw est un changement d’une ligne dans config.toml.
La philosophie architecturale derrière chaque choix
OpenClaw a choisi l’accessibilité. JavaScript est le langage le plus connu, les plugins sont faciles à écrire. Ces choix ont conduit à une adoption rapide. Ils ont aussi créé les caractéristiques de sécurité et de performance qui posent problème aujourd’hui.
ZeroClaw a choisi la correction. Rust impose la sécurité mémoire à la compilation, le système de traits assure une extensibilité type-safe, et le binaire unique élimine la complexité de déploiement.
PicoClaw a choisi la simplicité. Python est lisible, la codebase est assez petite pour être complètement comprise.
Lequel choisir ?
Si vous avez besoin du plus grand écosystème de plugins et d’une interface web soignée, et que vous êtes prêt à investir dans le durcissement sécurité, OpenClaw reste viable.
Si vous vous souciez de l’efficacité des ressources, de la sécurité, du déploiement edge ou de faire tourner sur du matériel contraint, ZeroClaw est le choix évident pour la production.
Si vous voulez une codebase Python minimale et hackable pour des projets personnels ou du prototypage, PicoClaw vaut le coup d’œil.