Accueil Actualités Détails
Le Centre national d’urgence informatique publie un avertissement sur les risques liés à l’application de sécurité OpenClaw
2026-03-11 14:31
Favoris

Le 10 mars, le Centre national d'urgence informatique a publié un avertissement concernant les risques de l'application de sécurité OpenClaw, soulignant directement les failles majeures de sécurité de cet agent d'IA open source récemment populaire à l'échelle mondiale. Alors que le nombre de téléchargements et d'utilisations d'OpenClaw (surnommé « écrevisse » par la communauté des développeurs chinois, anciennement connu sous les noms de Clawdbot et Moltbot) augmente de façon exponentielle, et que les principales plateformes cloud chinoises lancent des services de déploiement en un clic, les risques de sécurité cachés commencent également à apparaître.

Le Centre national d'urgence informatique indique qu'OpenClaw, en tant qu'agent logiciel capable de contrôler directement un ordinateur en fonction d'instructions en langage naturel pour accomplir des opérations, se voit attribuer des privilèges système extrêmement élevés pour réaliser sa capacité centrale « d'exécution autonome de tâches ». Cela inclut l'accès au système de fichiers local, la lecture des variables d'environnement, l'appel d'API de services externes et l'installation d'extensions. Cependant, en raison de sa configuration de sécurité par défaut extrêmement fragile, dès qu'un attaquant trouve une faille, il peut facilement obtenir un contrôle total du système.

La notification montre qu'en raison d'installations et d'utilisations inappropriées d'OpenClaw, plusieurs types de risques de sécurité graves sont apparus :

Tout d'abord, le risque d'« injection d'invites ». Les cyberattaquants peuvent, en construisant des instructions malveillantes cachées dans une page web, inciter OpenClaw à lire cette page, ce qui peut l'induire en erreur et entraîner la divulgation des clés système de l'utilisateur. Ensuite, le risque de « mauvaise manipulation ». En raison d'une mauvaise compréhension des instructions de l'utilisateur, OpenClaw peut supprimer définitivement des informations importantes telles que les e-mails ou les données de production essentielles. Troisièmement, le risque d'empoisonnement des extensions fonctionnelles. Plusieurs extensions fonctionnelles compatibles avec OpenClaw ont été confirmées comme étant malveillantes ou présentant des risques de sécurité potentiels ; leur installation peut permettre l'exécution d'opérations malveillantes telles que le vol de clés ou le déploiement de logiciels chevaux de Troie, transformant ainsi l'appareil en « zombie ». Quatrièmement, le risque de vulnérabilités de sécurité. À ce jour, plusieurs vulnérabilités critiques et moyennes d'OpenClaw ont été rendues publiques ; si elles sont exploitées de manière malveillante, elles peuvent entraîner le contrôle du système et la fuite d'informations privées ou de données sensibles.

Pour les utilisateurs individuels, ces risques peuvent entraîner le vol d'informations sensibles telles que les données personnelles (photos, documents, historiques de conversation), les comptes de paiement ou les clés API. Pour les secteurs clés tels que la finance ou l'énergie, cela peut conduire à la divulgation de données commerciales essentielles, de secrets commerciaux et de dépôts de code, voire paralyser l'ensemble du système opérationnel, causant ainsi des pertes incalculables.

Face à ces risques, le Centre national d'urgence informatique formule quatre recommandations de sécurité à l'intention des organisations et des utilisateurs individuels concernés :

Premièrement, renforcer le contrôle réseau en ne laissant pas le port de gestion par défaut d'OpenClaw directement exposé sur l'internet public, en gérant de manière sécurisée l'accès au service via des mesures telles que l'authentification et le contrôle d'accès, et en isolant strictement l'environnement d'exécution, en utilisant des technologies comme les conteneurs pour limiter les problèmes de privilèges excessifs.

Deuxièmement, renforcer la gestion des identifiants en évitant de stocker des clés en clair dans les variables d'environnement et en établissant un mécanisme complet d'audit des journaux d'opération.

Troisièmement, gérer strictement la provenance des extensions, désactiver la fonction de mise à jour automatique et n'installer que des extensions signées et vérifiées provenant de sources fiables.

Quatrièmement, suivre continuellement les correctifs et les mises à jour de sécurité, et procéder rapidement aux mises à jour de version et à l'installation des correctifs de sécurité.

Chine
Information et communicationIngénierie du traitement intelligent des donnéesIngénierie de la confidentialité des informations et de la sécurité des donnéesIngénierie de l'intelligence artificielle
Préc:Amazon investira 750 millions de dollars australiens dans un nouveau centre logistique robotisé en Australie
Suiv:CBI Ghana lance une usine d'argile calcinée à Tema pour soutenir la localisation de l'industrie cimentière
Produits Associés
Demander un devis /Unité
Radar multifonction de surveillance océanique et de détection basse altitude, mesure de l'environnement dynamique océanique à la frontière air-mer (Agent/Lancement exclusif) — Fiche technique disponible
Chengdu Dixin Technology Co., Ltd.
Demander un devis
Câble optique à tube central GYXTW
DONGGUAN TW-SCIE CO., LTD.
Demander un devis
Conduite automatique totale (FAO)
UniTTEC Co., Ltd.
Demander un devis
Codeur magnétique à anneau incrémental de type 202
Shanghai Complee Instrument Co., Ltd.
Demander un devis /unit
Tablette PC industrielle robuste 10 pouces Win10 Win11 Pro Intel N100 16+512 Go IP67 4G avec code-barres NFC RJ45 et station d'accueil
Highton Electronics Co., Ltd.
Demander un devis
25 Système de contrôle électro-hydraulique pour supports hydrauliques SAC
Beijing Tianma Intelligent Control Technology Co., Ltd.
Demander un devis
Radar de profil de vent troposphérique TWP16 en bande P
China Huayun Meteorological Technology Group Co., Ltd.
Demander un devis
Fibre optique monomode à dispersion non décalée à bande passante étendue G.652.D
HONGAN GROUP CO. LTD
Demander un devis
Projet d’installation mécanique et électrique pour l’industrialisation de matériaux semiconducteurs composés haut de gamme et de puces
Wuhan Huakang Century Clean Technology Co., Ltd.
Demander un devis
Système de surveillance intelligente pour bande transporteuse
LUO YANG WIRE ROPE INSPECTION TECHNOLOGY CO., LTD.
Demander un devis
QPS-20A Commutateur rapide de l'alimentation redondante
CHN ENERGY ZHISHEN CONTROL TECHNOLOGY CO., LTD.
Demander un devis
Système de supervision intelligente en boucle fermée pour la sécurité du transport routier
Beijing Bower Logistics Co., Ltd.
Recommandés
Au premier trimestre, le trafic mobile Internet en Chine a atteint 104,4 milliards de Go, le nombre d'utilisateurs 5G s'élève à 1,254 milliard, et la valeur DOU atteint un nouveau record en mars
2026-04-23
La première entité chinoise fusionnant IA et technologies quantiques, « Liangzhi Kaiwu », inaugurée à Pékin, dévoile deux réalisations majeures : « Zhuifeng » et « Bianque »
2026-04-23
Google lance la plateforme d'agents IA Gemini Enterprise, dotée d'une mémoire persistante et de fonctions de simulation de tests
2026-04-23
La première base de jetons au niveau des parcs industriels de Chine est implantée dans le comté de Guyang à Baotou, mettant en place une boucle verte circulaire allant de l’apport d’énergie électrique à la production de jetons numériques.
2026-04-22
Intel présente officiellement le concept de PC Agent, adoptant une architecture hybride « cerveau local auxiliaire + cerveau central cloud »
2026-04-22
Les deuxièmes Jeux mondiaux des robots humanoïdes se tiendront à Pékin en août, avec un programme élargi à 32 épreuves incluant le tir à la corde et l'haltérophilie
2026-04-22
SpaceX annonce avoir une option pour acquérir la startup d’IA Cursor pour 60 milliards de dollars plus tard cette année
2026-04-22
Tim Cook apparaît à la réunion des employés d'Apple, déclare être en bonne santé et occupera longtemps le poste de président exécutif du conseil d'administration
2026-04-22
Le port néo-zélandais CentrePort achève une application opérationnelle de manutention de conteneurs sur son réseau 5G privé
2026-04-22
Le Ministère chinois de l’Industrie et des Technologies de l’Information soutient la recherche prospective sur l’informatique spatiale et l’intègre dans la stratégie de renforcement de la chaîne industrielle de calcul
2026-04-21
Derniers Bulletins
1
Les exportations de soja américain bénéficient d’un financement de 14 millions de dollars
2
Marché du blé sous l’influence des conditions météorologiques et des facteurs géopolitiques : des fluctuations de prix, mais bien en dessous des records historiques
3
Les perspectives de production céréalière de l'UE sont sous pression à la baisse
4
Bühler lance en Suisse une technologie de transformation précise des aliments pour animaux afin de réduire la consommation et d’augmenter l’efficacité
5
La production de riz en Corée du Sud diminue pour la cinquième année consécutive : les politiques gouvernementales et l'évolution des habitudes de consommation modifient la structure agricole
6
Le secrétaire américain à l’Agriculture Rollins pourrait annoncer des mesures de baisse des prix des engrais cette semaine
7
La production de soja du Paraguay pour la campagne 2026-27 devrait s'établir à 11,1 millions de tonnes
8
Nike dévoile des maillots pour la Coupe du monde 2026 fabriqués à partir de déchets recyclés chimiquement
9
Lancement de l’Alliance des Fibres Circulaires pour promouvoir l’application des matériaux textiles issus du recyclage textile
10
La société d'investissement alimentaire du groupe Liugong signe un accord avec Hainan Xianshang pour l'industrie agroalimentaire