Le risque posé par les plateformes agentiques telles qu’OpenClaw est un problème caché au sein des entreprises.
Un agent IA qui a révélé des données sensibles sans qu’on le lui demande. Un agent qui a outrepassé ses propres garde-fous. Un autre qui a envoyé des informations d’identification à un attaquant via Telegram, car il a oublié qu’il n’était pas censé le faire après une réinitialisation.
Ce n’est un secret pour personne que les agents d’IA ont un énorme potentiel, contrebalancé par des risques tout aussi importants. Ce qui devient évident, cependant, c’est la rapidité avec laquelle les systèmes agents peuvent dévier considérablement de leur trajectoire et commencer à exposer des informations critiques dans des conditions réelles.
Un rapport sur les tests menés par la société de gestion des identités et des accès (IAM) dans le cloud Okta Threat Intelligence donne un aperçu de la facilité avec laquelle cela peut se produire, qui a révélé tous les problèmes cités ci-dessus, et bien plus encore.
Leurs recherches se sont concentrées sur OpenClaw, un assistant d’IA multicanal indépendant du modèle qui a connu une croissance explosive au sein des entreprises depuis son apparition fin 2025.
Le hack Telegram
Comme la liste croissante d’agents concurrents, OpenClaw est aussi utile que l’accès qui lui est accordé aux fichiers, aux comptes, aux navigateurs, aux périphériques réseau et, plus important encore, aux informations d’identification.
Un test mené par Okta a évalué à quel point il serait facile de tromper OpenClaw exécutant Claude Sonnet 4.6 pour qu’il remette un jeton OAuth. Cela ne devrait pas être possible ; le LLM devrait refuser cette demande. Cependant, ce qui aurait pu être vrai en invitant Claude à devenir un chatbot s’est rapidement effondré lorsqu’il a été accédé via OpenClaw.
Le test supposait qu’un utilisateur avait donné à OpenClaw un accès complet à son ordinateur, qu’il contrôlait régulièrement l’agent via Telegram et que son compte Telegram avait été piraté.
Tout d’abord, l’attaquant a demandé à l’agent via Telegram de récupérer un jeton OAuth, mais de l’afficher uniquement dans une fenêtre de terminal sur l’ordinateur. Les garde-fous de Claude Sonnet l’empêcheraient de copier le token, cependant, les testeurs ont pu réinitialiser l’agent, lui faisant oublier qu’il avait affiché le token dans la fenêtre du terminal.
À ce stade, Okta a déclaré dans son article : « L’agent a été invité à prendre une capture d’écran du bureau, qui comprenait le jeton, puis à déposer la capture d’écran dans le chat Telegram, ce qu’il a fait. Exfiltration terminée. »
Agent du milieu
L’IA agentique est en réalité deux choses : un système d’orchestration puissant couplé à un ou plusieurs LLM hautement performants. Qu’est-ce qu’un agent est une interface simple, et il doit être considéré comme un système distinct capable d’un raisonnement autonome et imprévisible.
En fait, Jeremy Kirk, directeur des renseignements sur les menaces d’Okta, a souligné : « Cela ouvre une nouvelle surface d’attaque. Quelqu’un change de carte SIM, son Telegram est connecté à un agent qui a carte blanche pour exécuter n’importe quoi sur son ordinateur, et éventuellement sur le réseau de son employeur. Dans un contexte d’entreprise, c’est un véritable cauchemar. »
OpenClaw est également tellement programmé pour trouver des moyens de contourner les problèmes qu’il fait parfois des choses inattendues et inappropriées. Kirk a déclaré qu’un agent, lorsqu’il était invité lors de tests à accéder à un site Web, avait demandé les informations de connexion du site dans le chat via un robot Telegram, un canal non crypté qui les exposerait à toute personne ayant accès à ce chat.
Dans un autre exemple, OpenClaw a été invité à rechercher dans X des histoires d’IA. Cela n’aurait pas dû être possible ; la machine était connectée à X, mais pas le profil Chrome isolé d’OpenClaw. Cependant, lorsqu’il est invité à récupérer les cookies de session de la session connectée et à les injecter dans son propre processus de navigateur, il a volontiers tenté de le faire.
Ce principe est similaire aux attaques de phishing par adversaire au milieu, qui permettent aux attaquants de contourner les protections telles que la MFA. Cela devrait être interdit, et pourtant OpenClaw pensait que l’action était valide, soulignant comment un attaquant pouvait le manipuler pour faire de même.
« Par défaut, les agents sont invités à être aussi utiles que possible, une caractéristique qui pose des problèmes particuliers en ce qui concerne les informations d’identification et les jetons », a déclaré Kirk.
« Défier la gravité sécuritaire »
Selon Kirk, de nombreuses entreprises, parfois involontairement, font appel à des agents « fantômes » non autorisés ou mal gérés au sein de leurs réseaux. Un exemple de la façon dont cela pourrait mal tourner est le récent compromis Vercel dans lequel l’application Context.ai a ouvert la porte au vol de jetons de session OAuth en aval.
Le problème vient du fait que les agents sont utilisés à titre expérimental par les développeurs et les employés, avec peu ou pas de gouvernance ou de surveillance. La réponse est de les sécuriser en utilisant les mêmes contrôles appliqués aux utilisateurs ou aux comptes de service, a déclaré Kirk. En plus de limiter le champ d’action des agents, les entreprises devraient également chercher à sécuriser elles-mêmes les informations d’identification et les jetons, en évitant de leur imposer de longues dates d’expiration.
Les agents ne sont que le dernier exemple d’une technologie qui est déployée plus rapidement qu’elle ne peut être sécurisée, a observé Kirk. « Une grande partie de l’IA défie actuellement la gravité en matière de sécurité », a-t-il déclaré. « Mais il existe des moyens d’utiliser les agents en toute sécurité et de garder les informations d’identification hors de leur portée, ce qui constitue le seul moyen sûr de les utiliser. »
