Une faille critique d’OpenClaw permettait à des sites Web malveillants de se connecter à des agents exécutés localement, d’utiliser des mots de passe par force brute sans limites et de prendre le contrôle total en exploitant la confiance implicite dans les connexions des hôtes locaux.
Si vous pensiez que l’exécution d’un agent IA localement le gardait en sécurité à l’intérieur des murs de votre machine, vous allez être surpris. Les chercheurs d’Oasis Security ont révélé une chaîne de failles qui permettait à un site Web malveillant de se connecter discrètement à un agent OpenClaw exécuté localement et d’en prendre le contrôle total.
Le problème vient d’une hypothèse fondamentale ancrée dans les outils de développement selon laquelle tout ce qui vient de « localhost » peut être fiable. En réalité, cependant, les navigateurs modernes permettent aux sites Web externes d’ouvrir des connexions WebSocket aux services locaux.
Selon les découvertes d’Oasis, les pages malveillantes du navigateur peuvent se connecter silencieusement à la passerelle OpenClaw, qui fait automatiquement confiance aux hôtes locaux et désactive les limites de débit, permettant ainsi un forçage brutal des mots de passe et un couplage non autorisé des appareils.
« Le navigateur Web moderne agit comme une membrane poreuse, permettant à un JavaScript externe non fiable de combler le fossé avec les services locaux via WebSockets », a déclaré Jason Soroko, chercheur principal chez Sectigo. « En s’appuyant sur une adresse IP locale pour accorder l’immunité contre la limitation de débit et pour approuver automatiquement et silencieusement les couplages de périphériques, le système abandonne les principes fondamentaux d’une architecture zéro confiance. »
Une fois piraté, l’attaquant peut obtenir les privilèges élevés de l’agent OpenClaw, notamment des flux de travail autonomes, l’accès aux bases de code, aux intégrations et aux informations d’identification. Les chercheurs d’Oasis ont appelé la faille ClawJacked, suivie sous CVE-2026-25253, et ont signalé le code de preuve de concept (PoC) complet à OpenClaw, qui l’a ensuite rapidement corrigé.
‘localhost’ est devenu un maillon faible
Les recherches d’Oasis Security ont montré comment une combinaison de choix de conception a permis la faille. OpenClaw s’est appuyé sur une liaison locale, un couplage automatique des appareils et un minimum de frictions d’authentification pour rationaliser l’intégration.
Étant donné que les connexions WebSocket à localhost ne sont pas limitées par les protections traditionnelles contre les origines croisées, un site Web hostile pourrait initier une communication avec la passerelle locale de l’agent. À partir de là, des contrôles d’authentification faibles et une confiance implicite dans les origines locales permettent à l’attaquant de coupler une session de périphérique et de commencer à émettre des commandes.
« Ce qui ressort, c’est qu’il est clair que l’utilité du produit s’est améliorée plus rapidement que la sécurité », a déclaré Randolph Barr, RSSI chez Cequence Security. « La conception visait à rendre l’expérience du développeur aussi fluide que possible en utilisant la liaison locale, le couplage automatique des appareils et moins de frictions pour la connectivité. Cela a rendu l’adoption plus rapide mais a également rendu les contrôles défensifs moins efficaces. »
Gal Moyal de Noma Security a fait écho à cette préoccupation selon laquelle les outils d’IA agentique donnent la priorité à une expérience de développeur transparente plutôt qu’à la sécurité. Il a noté que l’accès WebSocket à localhost est un comportement connu du navigateur, « mais son intersection avec un point de terminaison d’authentification non limité et la confiance automatique des appareils de localhost crée une combinaison particulièrement dangereuse ».
La chaîne d’attaque complète implique qu’une victime visite un site Web malveillant dont le script caché se connecte à la passerelle OpenClaw exécutée localement via WebSockets, force brutalement son mot de passe sans limite de débit et s’enregistre silencieusement en tant que périphérique de confiance en raison de la confiance implicite de l’hôte local. Une fois authentifié, l’attaquant prend le contrôle total de l’agent IA ainsi que de ses données et fonctions accessibles.
Un rayon de souffle plus grand
Contrairement aux vulnérabilités logicielles classiques, les agents IA compromis ont un rayon d’action plus important car ils détiennent des clés API sensibles, des jetons de session, un accès au système de fichiers et l’autorité nécessaire pour exécuter des tâches sur les outils de l’entreprise.
Barr a souligné que les systèmes autonomes « regroupent l’identité, les informations d’identification et l’autorité de flux de travail », ce qui signifie qu’une panne ne se produit pas silencieusement. Au lieu de cela, l’agent exécute des actions « avec la pleine autorité de l’utilisateur, à la vitesse et à l’échelle de la machine ». Dans les environnements de développement, cela peut inclure la modification des référentiels de code, l’accès aux systèmes internes ou le déclenchement de processus automatisés.
Soroko a décrit le navigateur lui-même comme un vecteur d’attaque inattendu, contournant efficacement le périmètre physique du développeur et « transformant un simple onglet d’arrière-plan en un crochet de verrouillage efficace ». Oasis a noté que l’équipe OpenClaw a répondu rapidement, en coordonnant la divulgation et en publiant un correctif (OpenClaw v2026.2.25 ou version ultérieure) dans les 24 heures. Cependant, les experts préviennent que l’application rapide de correctifs à elle seule ne peut pas répondre aux risques architecturaux plus larges. Les organisations déployant des agents d’IA devraient mettre en œuvre une authentification plus forte, une approbation explicite des utilisateurs pour le couplage de sessions, une limitation du débit, la portée des informations d’identification et une surveillance comportementale, ont-ils noté.
