● Silicon.fr Télécom 📅 24/04/2026 à 09:36

Cybersécurité 👤 Clément Bohic

🏷️ Tags : fuite de données cert openai rag réseau rte stoc

Compromission de systèmes, fuite de données sensibles, actions potentiellement destructrices… Les risques que pose OpenClaw sont connus et reconnus. Le CERT-FR les a récemment synthétisés en un bulletin d’alerte. Il étend son propos à l’ensemble des « produits d’automatisation par IA agentique sur les postes de travail ». Outre OpenClaw, Claude Cowork est mentionné. Consigne : en l’état, hors de question d’utiliser ces assistants en production. On s’en tiendra impérativement à des environnements de test isolés, sans données sensibles. On limitera par ailleurs les actions et les outils accessibles, tout en définissant des listes de canaux de communication et d’interlocuteurs autorisés. L’activation pourra être restreinte, par exemple en imposant l’invocation explicite des assistants (mentions @). Et l’usage de commandes système, soumis à validation humaine. Lire aussi : ReCyF, une grille de lecture supplémentaire pour la NIS 2 La formulation défensive des prompts peut contribuer à réduire les risques, même si les attaques par injection peuvent la contourner, précise le CERT-FR. Le CERT chinois déplore un OpenClaw « extrêmement fragile » Il y a quelques semaines, le CERT chinois avait émis une alerte de la même teneur, centrée toutefois sur OpenClaw. Il en soulignait la « configuration par défaut extrêmement fragile ». Et rappelait les privilèges élevés dont l’outil peut disposer (acès au système de fichier local, lecture des variables d’environnement, installation de plug-in…). Son alerte n’interdisait pas formellement le déploiement en prod. Elle établissait néanmoins des prérequis parmi lesquels : Renforcer le contrôle du réseau et ne pas exposer à Internet le port de gestion par défaut Isoler l’environnement d’exécution et utiliser des technos comme les conteneurs pour limiter les privilèges excessifs Ne pas stocker de clés dans des variables d’environnement Gérer de manière stricte les sources des plug-in et désactiver leur mise à jour automatique À consulter en complément : Pourquoi Peter Steinberger a quitté OpenClaw pour OpenAI D’OpenShell à NanoClaw, un NVIDIA tentaculaire sur l’agentique Google Workspace s’ouvre aux agents IA par la voie du CLI Les milliards d’OpenAI alimentent aussi des acquisitions Illustration générée par IA

🔗 Lire l'article original 👁️ 0 lecture