Moltbot, « l'acolyte » IA open source de pointe anciennement connu sous le nom de Clawdbot et récemment rebaptisé OpenClaw, connaît aujourd'hui un succès fou. Sorti de nulle part, il est devenu en un mois le premier agent IA viral avec 70 000 étoiles GitHub. Son créateur, Peter Steinberger, affirme qu'il s'agit d’une « IA qui fait réellement des choses ». Oui, mais il existe beaucoup de chatbots et d'agents IA qui font des choses. Peut-être qu'ils font mal les choses, mais utilisés avec précaution, ils peuvent faire un travail efficace. OpenClaw doit sa renommée à sa capacité à effectuer des actions concrètes au nom de l’utilisateur. Au lieu de fonctionner uniquement dans le cloud, l'agent tourne sur le matériel de l'utilisateur, souvent sur des Mac mini, mais il peut aussi être utilisée avec Windows, Linux ou tout autre système d'exploitation. En coulisses, il se connecte à un ou plusieurs grands modèles de langage (LLM) via une API et expose un ensemble de « canaux » et d'« outils » qui lui permettent de voir et d'agir sur toute la vie numérique : lire des courriels, exécuter des commandes shell, naviguer sur le web, organiser un agenda de voyage et exécuter les applications à la place de l’utilisateur.

Le projet a vu le jour sous le nom de Clawdbot, un agent IA géré en local, représenté par une mascotte en forme de homard spatial appelée Clawd et relié aux modèles Claude d'Anthropic grâce à diverses « compétences » et connecteurs. Via ces applications, les utilisateurs communiquent généralement avec OpenClaw en spécifiant des tâches en langage naturel du genre « vider ma boîte de réception », « réserver mon vol » ou « résumer mes réunions ». En arrière-plan, l'agent utilise des canaux pour recevoir ces instructions et des outils pour les exécuter, reliant le raisonnement IA de Claude et d'autres modèles à des actions concrètes comme procéder à l'enregistrement d’un vol, générer ou modifier du code, synchroniser des calendriers ou encore créer des scripts et des tableaux de bord.

Un vrai trou noir en matière de sécurité

L'un des principaux attraits d'OpenClaw réside dans sa mémoire à long terme. Il utilise des fichiers comme USER.md et IDENTITY.md pour stocker des informations sur l’utilisateur et la personnalité de l'agent. Il peut ainsi se souvenir de ses préférences, des tâches passées et des projets en cours, au point qu’il ressemble davantage à un collègue fidèle qu'à un chatbot stateless. L'écosystème environnant des « compétences » communautaires sur GitHub étend encore ces capacités, depuis l'automatisation du navigateur et la mise à jour automatique jusqu’aux flux de travail spécialisés pour la documentation, la recherche et le codage. Cela a l'air génial ! Sur Internet, on trouve beaucoup d’exemples de personnes qui font des trucs sympas avec OpenClaw. Il existe même un réseau social pour les bots appelé Moltbook, où les agents se comportent comme des idiots (comme la plupart des réseaux sociaux auxquels on peut penser) et partagent parfois des trucs et astuces entre eux.

Mais derrière tout cela il y a quand même quelques problèmes. Pour effectuer des tâches utiles comme réserver une chambre d'hôtel, commander une pizza ou nettoyer la boîte mail, il faut fournir son nom, son mot de passe, son numéro de carte bancaire et tout un tas d'informations convoitées par des escrocs. Vous voyez le tableau ? OpenClaw est un trou noir en matière de sécurité. Il est utile jusqu'au moment où toutes ces données importantes disparaissent. Comme l'explique Cisco, « la sécurité pour OpenClaw est une option, mais elle n'est pas intégrée ». La documentation du produit elle-même admet qu’il n'existe pas de configuration « parfaitement sécurisée ». Accorder à un agent IA un accès illimité à ses données (même localement) est la recette idéale pour un désastre si les configurations sont mal utilisées ou compromises. » Comme le fait remarquer Synk, spécialisé dans les solutions de sécurité pour les développeurs, « s'il y a un scénario de sécurité qui empêche les chercheurs en sécurité IA de dormir la nuit, c'est bien l'injection de prompt. Cette catégorie de vulnérabilité représente peut-être la plus grande surface d'attaque pour tout agent IA connecté à des sources de données externes, ce qui, par définition, inclut les assistants IA personnels qui lisent les courriels, naviguent sur le web et traitent les messages provenant de multiples canaux. »

Un usage dans une VM isolée recommandé

Je le dis clairement : c’est tout à fait stupide d’utiliser OpenClaw. À ceux qui veulent absolument l'essayer, je conseille fortement de l’installer sur une machine virtuelle verrouillée afin qu'il ne puisse accéder à aucune de leurs données personnelles ou professionnelles. Et je dis bien aucune. Il ne faut absolument pas lui donner accès à des données personnelles. Certes, il sera sans doute beaucoup moins utile, mais c'est la seule façon de l'utiliser en toute sécurité. Sinon, vous vous exposez à un piratage, et lorsque cela se produira, OpenClaw ne pourra pas faire grand-chose, voire rien, pour réparer les dégâts.