CLAWBACK ! Le gouvernement chinois avertit le public des risques liés à l'utilisation d'OpenClaw ! Cela fait suite à une frénésie de promotion de Claw par les gouvernements municipaux locaux encourageant tout le monde, des ménagères aux personnes âgées, à "élever une langouste". "Notez que c'est la véritable branche du gouvernement central qui est technologiquement lettrée, et non le gouvernement municipal dirigé par des boomers qui a promu cela. J'espère que rien de grave ne se produira. Sinon, certains cadres des gouvernements municipaux perdront leur emploi." Selon l'avis de risque : Avertissement de risque concernant l'utilisation sécurisée d'OpenClaw Source : CNCERT (Équipe technique d'intervention d'urgence des réseaux informatiques nationaux de Chine) Date : 10 mars 2026 Récemment, l'application OpenClaw (également connue sous le nom de "小龙虾 / Crayfish", anciennement appelée Clawdbot et Moltbot) est devenue extrêmement populaire pour le téléchargement et l'utilisation. Les principales plateformes cloud nationales proposent désormais des services de déploiement en un clic. Ce logiciel d'agent intelligent peut contrôler directement les ordinateurs via des instructions en langage naturel. Afin d'atteindre la capacité d'exécuter des tâches de manière autonome, l'application se voit accorder des autorisations système relativement élevées, y compris : • Accès au système de fichiers local • Lecture des variables d'environnement • Appel des API de services externes • Installation d'extensions et de plugins Cependant, en raison de la configuration de sécurité par défaut extrêmement faible, si des attaquants découvrent une vulnérabilité, ils peuvent facilement obtenir le contrôle total du système. Récemment, en raison d'une installation et d'une utilisation inappropriées des agents OpenClaw, plusieurs risques de sécurité graves sont déjà apparus : ⸻ 1. Risque d'injection de prompt Les attaquants peuvent intégrer des instructions malveillantes cachées à l'intérieur des pages web. Si OpenClaw lit cette page web, il peut être trompé en exécutant ces instructions, ce qui pourrait entraîner une fuite des secrets ou des identifiants de l'utilisateur. ⸻ 2. Risque d'erreur opérationnelle Parce que l'IA peut mal comprendre les commandes ou l'intention de l'utilisateur, OpenClaw pourrait accidentellement supprimer des informations importantes telles que : • Email • Données de production essentielles • Autres fichiers critiques ⸻ 3. Risque de plugin (compétences) malveillant Plusieurs plugins conçus pour OpenClaw ont déjà été identifiés comme malveillants ou potentiellement dangereux. Après installation, ils peuvent : • Voler des clés cryptographiques • Installer des chevaux de Troie ou des portes dérobées • Transformer l'appareil en "nœud de botnet" ("肉鸡" – littéralement "ordinateur zombie") ⸻ 4. Risque de vulnérabilité de sécurité Plusieurs vulnérabilités de gravité élevée et moyenne dans OpenClaw ont déjà été publiquement divulguées. Si elles sont exploitées, les attaquants peuvent obtenir : • Contrôle du système • Accès aux données privées • Accès à des informations sensibles Pour les utilisateurs individuels, cela pourrait exposer : • Photos • Documents • Historiques de chat • Comptes de paiement • Clés API Pour des secteurs critiques tels que la finance ou l'énergie, cela pourrait entraîner : • Fuite de données opérationnelles essentielles • Exposition de secrets commerciaux • Fuite de dépôts de code source • Pannes ou paralysies du système Les pertes potentielles pourraient être très difficiles à estimer.

@h/t @MrBig2024