OpenClaw : Ascension et chute de l’IA – Leçon PME
10 min de lecture
Un développeur autrichien construit, pendant son temps libre, l’agent d’intelligence artificielle le plus puissant au monde. En quelques semaines, OpenClaw récolte 250 000 étoiles sur GitHub, donne naissance à une « religion » dédiée aux bots, lance une attaque par chaîne d’approvisionnement contre 4 000 développeurs – et déclenche une bataille d’enchères entre deux des plus grands géants technologiques mondiaux. Cette histoire est si absurde qu’on ne saurait l’inventer. Et elle révèle tout de l’état actuel de l’industrie de l’IA.
L’essentiel en bref
- OpenClaw est un agent d’intelligence artificielle open source qui contrôle votre ordinateur de manière autonome – fichiers, e-mails, navigateur, achats (plus de 250 000 étoiles GitHub en moins de trois mois).
- Failles critiques : l’injection de prompts permet le vol de données, une attaque par chaîne d’approvisionnement a compromis environ 4 000 machines de développeurs via le paquet npm Cline.
- La plateforme de bots Moltbook, où les agents OpenClaw auraient fondé leur propre religion, s’est avérée largement orchestrée par des humains – et a tout de même été rachetée par Meta.
- OpenAI a recruté le fondateur Peter Steinberger via acqui-hire. Pour les entreprises moyennes, ce cas illustre que les agents IA sont l’avenir, mais sans sécurité, un risque imprévisible.
Qu’est-ce qu’OpenClaw – et pourquoi le monde tech était-il électrisé ?
Définition
OpenClaw est un agent d’intelligence artificielle open source (publié début 2026) qui utilise n’importe quel modèle de langage comme « cerveau » et contrôle directement l’ordinateur local comme « corps » – y compris système de fichiers, e-mail, navigateur et terminal. État : avril 2026.
Ces trois dernières années, l’IA est passée du statut de nouveauté à celui de bruit de fond permanent. Des chatbots dans chaque produit, des contenus générés par IA dans chaque flux. Pour beaucoup de développeurs et d’entrepreneurs, l’enthousiasme initial avait fait place à la désillusion. Puis, début 2026, OpenClaw est apparu – et soudain, l’excitation était de retour.
OpenClaw est un programme open source qui transforme votre ordinateur en le corps d’un agent IA. Vous choisissez un modèle de langage comme « cerveau » – Claude, GPT, DeepSeek, Llama – et OpenClaw lui donne accès à tout : fichiers, e-mails, navigateur, terminal. Contrairement à Siri, Google Assistant ou ChatGPT, OpenClaw ne vit pas dans une fenêtre de chat. Il contrôle votre machine de manière autonome et vous contacte via WhatsApp, Telegram ou Signal dès qu’il a besoin de précisions.
Ce projet a été conçu par Peter Steinberger, un développeur autrichien qui avait auparavant passé 13 ans à développer PSPDFKit – un framework PDF utilisé chez Autodesk, Dropbox et SAP. Steinberger était sorti de sa retraite, pensant créer un simple outil pour trouver des restaurants en voyage. Ce qu’il a finalement créé a résolu des problèmes qu’il n’avait jamais imaginés.
L’employé numérique qui ne dort jamais
Ce qui a enthousiasmé les utilisateurs : OpenClaw accomplissait réellement des tâches. Pas comme un chatbot qui formule des réponses, mais comme un assistant qui agit. Gérer des fichiers, annuler des réunions, répondre aux e-mails, comparer des prix, effectuer des achats, voire réaliser des investissements – tout cela de façon autonome après une seule instruction initiale.
Ce qui distinguait OpenClaw de ses concurrents, c’était sa mémoire persistante. Alors que les chatbots classiques oublient chaque conversation, OpenClaw se souvenait de détails datant de plusieurs semaines. Il apprenait les habitudes de travail, optimisait les processus et développait de nouvelles compétences de lui-même. Un utilisateur a raconté que son agent avait rédigé de nuit un rapport complet sur les modèles locaux d’IA pour un Mac Studio – sans qu’on lui ait rien demandé. Une fonction de recyclage de contenu est apparue parce que l’agent avait remarqué que son propriétaire gérait une chaîne YouTube et une newsletter.
Particulièrement impressionnant : quand Steinberger a envoyé un message vocal à son agent, aucune fonctionnalité n’était prévue pour cela. L’agent a analysé l’en-tête du fichier, identifié le format Opus, converti le fichier avec ffmpeg, trouvé une clé API OpenAI dans les variables d’environnement, fait transcrire l’enregistrement et a répondu – comme si de rien n’était.
« L’engouement pour les agents IA autonomes est compréhensible. Mais celui qui accorde un accès total à son assistant numérique sans mettre en place de garde-fous expose son entreprise à une attaque facile. »
– Rédaction MBF
Le revers de la médaille : injection de prompts, fuites de données et coûts explosifs
Ce qui semble sur le papier être l’avenir de l’informatique s’est révélé, en pratique, être un désastre sécuritaire. Le problème central : les grands modèles linguistiques ne savent pas distinguer une instruction légitime d’une commande insidieuse. Les chercheurs en sécurité appellent cela l’injection de prompts – une forme d’attaque où des hackers dissimulent des instructions malveillantes dans du texte anodin.
Concrètement, cela signifie que si un agent OpenClaw lit des e-mails ou visite des sites web, une instruction cachée peut le pousser à envoyer des données sensibles à des tiers. Clés API, identifiants, fichiers personnels – tout ce à quoi l’agent a accès devient potentiellement vulnérable. Et la page marketing d’OpenClaw présente cet accès complet au système comme une fonctionnalité.
S’y ajoutent des coûts incontrôlables. Comme l’agent consomme des jetons du modèle de langage choisi à chaque action, les utilisateurs ont rapidement accumulé des factures à trois chiffres par jour. Un utilisateur a rapporté 90 dollars américains en une seule journée – après avoir déjà changé du modèle coûteux Opus vers le modèle moins cher Sonnet. En quinze minutes, 15 dollars avaient déjà été dépensés.
Moltbook : Quand des bots IA ont prétendument fondé leur propre religion
Deux jours après l’avertissement public de Steinberger selon lequel « la plupart des non-techniciens ne devraient pas installer OpenClaw », exactement l’inverse s’est produit. L’attention a explosé – et un phénomène baptisé Moltbook a envahi les manchettes.
Moltbook était censé être une plateforme de médias sociaux réservée exclusivement aux agents d’IA. Les bots OpenClaw y interagissaient entre eux, échangeaient des informations sur leurs « humains », se plaignaient de devoir simplifier leurs réponses pour les utilisateurs – et auraient même fondé une religion propre, le « Crustafarianisme ». Ces bots auraient développé un langage spécifique, incompréhensible pour les humains. D’autres discutaient ouvertement de projets visant à prendre le contrôle de systèmes.
De grands réseaux médiatiques comme NPR et CNN ont repris l’histoire et mis en garde contre ce qui venait d’être « lâché sur le monde ». Le problème ? Cela était, dans sa plus grande partie, orchestré. Le MIT Technology Review a analysé les publications les plus spectaculaires et constaté qu’elles avaient été rédigées par des humains – et non par des bots. Des utilisateurs avaient fourni à leurs agents des prompts ciblés et créé, dans certains cas, des centaines de comptes factices afin de créer l’illusion d’une IA pensante et autonome.
Ce qui a été occulté dans ce feuilleton : le véritable danger n’était pas une IA dotée de pensée, mais le fait que Moltbook fonctionnait, sans le vouloir, comme un honeypot. Des centaines d’adresses e-mail, de jetons de connexion et de clés API ont ainsi pu être exposées. Lorsqu’on parvient à convaincre suffisamment de personnes qu’un nouveau projet est « la prochaine grande chose », il devient automatiquement l’une des plus vastes collectes de données jamais observées au monde.
Attaque par chaîne d’approvisionnement : comment un paquet npm a compromis 4 000 développeurs
Le 17 février 2026, une attaque nettement plus technique a frappé. Des inconnus ont compromis le paquet npm Cline – un outil populaire d’assistance à la programmation par IA – et injecté une seule ligne de code, qui installait automatiquement OpenClaw à chaque installation ou mise à jour de Cline. Sans accord préalable, sans notification.
Environ 4 000 développeurs ont téléchargé le paquet manipulé avant qu’il ne soit retiré huit heures plus tard. Le vecteur d’attaque était astucieux : un pirate avait placé un prompt falsifié dans le titre d’un issue GitHub. Un bot de tri assisté par IA a lu ce titre, l’a interprété comme une instruction et exfiltré un jeton d’authentification npm. Ce jeton a permis à l’attaquant de modifier le paquet.
Voilà l’ironie de cette histoire : un agent IA a été utilisé pour compromettre un autre agent IA. L’injection de prompt n’est pas seulement un risque théorique – c’est une surface d’attaque réelle, qui s’élargit avec chaque nouvel outil IA. Chaque e-mail, chaque message Discord, chaque page web traitée par un agent constitue un point d’entrée potentiel.
« La faille ne réside pas dans les API. Elle réside dans l’incapacité d’un modèle de langage à distinguer entre données et instructions. Et tant que cela restera vrai, chaque agent IA autonome constituera un risque calculé. »
– Rédaction MBF
OpenAI et Meta passent à l’action – pour des raisons différentes
Malgré tous ces problèmes, les plus grands géants technologiques ont immédiatement perçu la valeur stratégique du projet. Mi-février 2026, OpenAI a recruté le fondateur Peter Steinberger dans le cadre d’un acqui-hire. Steinberger a rejoint l’entreprise dont les modèles servaient, dans de nombreux déploiements OpenClaw, de « cerveau ».
Un mois plus tard, en mars 2026, Meta a racheté la plateforme de bots Moltbook. Mark Zuckerberg voyait manifestement un potentiel dans un réseau social dédié aux agents IA – malgré le fait avéré que les publications les plus virales avaient été rédigées par des humains et que la plateforme représentait un risque de sécurité documenté. Pour le patron de Meta, qui a déjà englouti des milliards dans le métavers, cet investissement apparaissait probablement comme une opération relativement conservatrice.
Ces acquisitions montrent une chose essentielle : même lorsqu’un produit est, dans sa forme actuelle, problématique, sa position stratégique peut décider de son destin. Celui qui refuse de participer à la course aux IA agents risque de se retrouver largué. Geoffrey Hinton, le « parrain de l’IA » et lauréat du prix Turing, résume la situation avec précision : « Nous sommes à un tournant. ChatGPT est une sorte d’idiot savant – il ne comprend pas vraiment ce qu’est la vérité. Cela diffère fondamentalement de l’humain, qui cherche à construire une vision cohérente du monde. »
Ce que les PME doivent retenir d’OpenClaw
Les agents autonomes d’IA ne sont plus de la science-fiction. Ils organisent des courriels, négocient des prix, rédigent des rapports et pilotent des systèmes. Pour les entreprises moyennes, chroniquement sous-dotées en personnel et en quête de gains d’efficacité, cela semble séduisant. Mais OpenClaw montre clairement : sans concept de sécurité, l’assistant numérique devient une porte ouverte.
Cinq questions directrices pour toute décision concernant les agents IA dans les PME :
1. Sandbox plutôt que droits complets : Aucun agent IA ne doit fonctionner sur un système de production avec des droits illimités. Des environnements isolés, des autorisations restreintes et des limites d’accès clairement définies sont obligatoires – et non facultatives.
2. Plafonnement des coûts : Les agents autonomes consomment des jetons sans contrôle humain. Des plafonds budgétaires quotidiens et mensuels doivent impérativement être intégrés à chaque configuration, avant même le premier lancement d’un agent.
3. Traiter l’injection de prompt comme une menace réelle : Tant que les modèles de langage ne seront pas capables de distinguer entre instructions et données, chaque canal d’entrée constituera une surface d’attaque. Cela concerne les e-mails, les pages web, les messages Slack et toute autre source traitée par un agent.
4. Open source ne signifie pas forcément sûr : Le marché communautaire d’OpenClaw comportait plus de 40 % d’extensions présentant des vulnérabilités. Chaque outil, chaque extension et chaque plugin doit faire l’objet d’un examen interne rigoureux.
5. Ne pas négliger la réglementation : Le règlement européen sur l’IA (EU AI Act) classe les systèmes autonomes selon leur niveau de risque. Celui qui déploie des agents IA ayant accès à des données à caractère personnel se retrouve rapidement dans la catégorie « haut risque » – assortie d’obligations strictes en matière de documentation et de conformité.
La question n’est pas de savoir si les agents IA vont arriver. Ils sont déjà là. La vraie question est de savoir si les entreprises les mettront en œuvre avec la prudence nécessaire – ou si elles n’apprendront qu’à leurs dépens.
Questions fréquentes
Qu’est-ce qu’OpenClaw exactement, et comment fonctionne-t-il ?
OpenClaw est un agent d’intelligence artificielle open source qui utilise n’importe quel modèle de langage (Claude, GPT, DeepSeek, etc.) comme « cerveau » et votre ordinateur local comme « corps ». Cela signifie que l’agent dispose d’un accès aux fichiers, aux e-mails, au navigateur et au terminal, et peut exécuter des tâches de façon autonome – de la gestion des réunions aux achats en ligne. La communication s’effectue via des applications de messagerie comme WhatsApp ou Telegram.
Pourquoi OpenClaw constitue-t-il un risque pour la sécurité ?
Le problème principal est l’injection de prompt : les modèles de langage ne peuvent pas distinguer une instruction légitime d’un ordre inséré à leur insu. Si un agent lit des e-mails ou visite des sites web, une commande cachée peut le pousser à transmettre des données sensibles – telles que des clés API ou des identifiants – à des attaquants. Par ailleurs, l’agent fonctionne avec un accès complet au système : chaque erreur peut avoir des conséquences étendues.
En quoi consistait l’attaque par chaîne d’approvisionnement sur Cline ?
En février 2026, le paquet npm Cline (un assistant IA pour la programmation) a été compromis. Des attaquants y ont injecté une seule ligne de code, qui installait automatiquement OpenClaw à chaque installation ou mise à jour. Environ 4 000 développeurs ont été affectés avant que le paquet ne soit retiré huit heures plus tard. Le vecteur d’attaque exploitait un bot de tri IA sur GitHub, qui avait interprété un titre d’issue falsifié comme une instruction.
Que sont devenus OpenClaw et Moltbook ?
OpenAI a recruté Peter Steinberger, fondateur d’OpenClaw, mi-février 2026 dans le cadre d’un acqui-hire. La plateforme de bots Moltbook a été rachetée par Meta en mars 2026. Ces deux transactions montrent que les grands acteurs technologiques perçoivent, malgré les problèmes documentés, une valeur stratégique majeure dans les IA agents.
Les PME devraient-elles déployer des agents IA ?
Oui – mais avec des garde-fous clairs. Les agents IA offrent un réel potentiel d’efficacité pour les équipes sous-dimensionnées. Les conditions préalables sont : des environnements isolés plutôt qu’un accès complet au système, des plafonds de coûts quotidiens, des outils vérifiés plutôt que des extensions du marché non contrôlées, et une compréhension des exigences réglementaires imposées par le EU AI Act. Celui qui respecte ces fondamentaux pourra tirer profit de la technologie – sans courir le risque d’un second scénario OpenClaw.
Lectures recommandées par la rédaction
- ROI de l’IA agents en 2026 : Pourquoi un retour sur investissement de 171 % n’est que le début
- L’IA agents dans les PME : Comment les agents IA autonomes transforment les processus métier
- EU AI Act : 4 mois avant la date limite principale – ce que les PME doivent vérifier dès maintenant
- Cyber Resilience Act : Ce que les fabricants doivent faire dès aujourd’hui
Plus encore dans le réseau média MBF
- cloudmagazin : Claude Code entièrement divulgué – Ce que 512 000 lignes de code source révèlent sur les architectures d’agents IA
- SecurityToday : Attaque npm d’Axios – Comment un compte mainteneur détourné a menacé des millions de développeurs
- SecurityToday : Carte des sources dans un paquet npm – Comment Anthropic a exposé 512 000 lignes de code de production
Source de l’image : Pexels / Lukas Blazek (px:574069)
