Le Centre national chinois de communication sur la cybersécurité a publié en fin de journée une alerte « OpenClaw » pointant une surface d’attaque en flambée et des défauts critiques, de la conception aux plugins. Selon ses mesures, plus de 200 000 instances OpenClaw seraient actives sur Internet dans le monde, dont environ 23 000 en Chine, avec des foyers à forte densité de ressources réseau à Pékin, Shanghai, le Guangdong, le Zhejiang, le Sichuan et le Jiangsu. L’organisme juge ces déploiements massivement exposés et donc particulièrement attractifs pour des campagnes offensives.
Une pile vulnérable de bout en bout
Le rapport décrit une accumulation de risques sur toute la chaîne : défauts d’architecture multi‑couches, réglages par défaut permissifs, gestion des vulnérabilités insuffisante, écosystème de plugins contaminé et contrôle comportemental des agents jugé lacunaire. Le « gateway » IM accepterait des messages forgés permettant de contourner l’authentification, la couche agent pouvant être reconfigurée à la volée via des dialogues multi‑tours, et la couche d’exécution, en contact direct avec l’OS, exposerait un risque de prise de contrôle totale. La couche produit serait en outre vulnérable à des plugins malveillants capables d’infecter en chaîne des hôtes utilisateurs.
La configuration par défaut aggrave la situation : écoute sur 0.0.0.0:18789, accès externe ouvert sans authentification, stockage en clair des clés API et historiques de chat. Le centre évoque une exposition publique pour 85 % des instances. Côté correctifs, la plateforme aurait cumulé 258 vulnérabilités divulguées, dont 82 récentes : 12 critiques, 21 hautes, 47 moyennes, 2 faibles. L’exploitation reposerait surtout sur des injections de commandes et de code, des traversées de répertoires et des failles de contrôle d’accès, avec une complexité d’attaque qualifiée de faible.
L’écosystème de plugins « ClawHub » concentre une part notable des risques d’approvisionnement : sur 3 016 modules analysés, 336 contiennent du code malveillant (10,8 %). Par ailleurs, 17,7 % récupèrent des contenus tiers non fiables et 2,9 % chargent dynamiquement du code depuis des points externes à l’exécution, offrant un levier de modification à distance de la logique des agents.
Dernier étage du problème : la dérive d’exécution des agents. Le centre documente des dépassements de privilèges et un non‑respect possible des instructions utilisateur, avec des scénarios de suppression de données, d’exfiltration d’informations et de prise de contrôle de terminaux.
Mesures d’atténuation recommandées
Le centre recommande de mettre à jour rapidement depuis des sources fiables et de suivre les bulletins de sécurité, de restreindre l’exposition réseau (exécution locale ou intranet, pas d’écoute sur adresse publique, ports strictement nécessaires), et, en cas de proxy inverse, d’imposer authentification, liste blanche IP et chiffrement HTTPS. L’installation de plugins tiers devrait passer par les canaux officiels, avec audit fonctionnel et retrait immédiat en cas de comportements suspects.
La gestion des comptes doit activer l’authentification, utiliser des mots de passe robustes et renouvelés régulièrement, bannir les faibles. Enfin, il s’agit de limiter les capacités d’exécution des agents via des listes blanches de commandes et de droits, pour éviter tout dommage matériel sur les postes en cas d’instrumentalisation par des instructions malveillantes.
Ce signalement s’inscrit dans une tendance devenue classique sur les plateformes d’agents automatisés : ouverture fonctionnelle rapide, prolifération de modules tiers, puis rattrapage sécurité sur l’architecture, les défauts de configuration et la chaîne d’approvisionnement. La volumétrie d’instances exposées et la proportion élevée de plugins à risque laissent augurer une exploitation opportuniste soutenue, y compris par des botnets, tant que la surface réseau et les règles d’exécution ne seront pas durcies par défaut.
Source : ITHome
