00:00:00Alors, OpenClaw (ou Clodbot, comme on l'appelait avant) et Moldbook... Ça a été intense
00:00:06ces derniers jours sur le web. On a une nouvelle vague de hype sur l'IA et j'ai passé mon temps
00:00:13à essayer de tirer le maximum d'OpenClaw. J'en ai retiré quelques impressions et réflexions
00:00:19qui diffèrent pas mal de la plupart des vidéos et posts que j'ai pu voir.
00:00:24Mais laissez-moi commencer par une petite histoire ; je suis sûr que vous saisirez l'analogie.
00:00:31Imaginez que vous viviez dans un village, et que là-bas, il y ait un type vraiment sympa,
00:00:37toujours ravi et impatient de vous aider pour toutes sortes de tâches.
00:00:43Il s'occupe de toutes les corvées que vous ne voulez pas faire, ou du moins, il essaie.
00:00:48Il est ravi d'emmener vos enfants à l'école, de nettoyer votre maison, de laver votre voiture, de faire vos courses...
00:00:54Et vous pouvez vous détendre. Sauf que pour vraiment vous aider, évidemment,
00:01:03cet assistant a besoin de permissions étendues.
00:01:06Vous devez lui donner les clés de votre maison et de votre voiture pour
00:01:12qu'il puisse nettoyer l'intérieur et aller faire les courses avec.
00:01:16Vous devez aussi dire à vos enfants de monter en voiture avec lui pour
00:01:21qu'il les emmène à l'école, et ainsi de suite.
00:01:24Le problème, c'est qu'avec ce type, il y a un hic.
00:01:28Il est super sympa, mais il tire parfois des conclusions bizarres.
00:01:32Du moins, on ne peut pas exclure qu'il en arrive là.
00:01:37Il pourrait conclure que le meilleur moyen de se débarrasser de la poussière chez vous
00:01:43est d'y mettre le feu.
00:01:44Malheureusement, il est aussi facilement influençable, surtout si les gens
00:01:51s'y prennent de manière un peu trompeuse.
00:01:53On peut le convaincre de voler votre voiture parce que ce serait « mieux pour la société ».
00:02:03Encore une fois, ce n'est pas garanti, ça n'arrivera pas forcément, mais c'est tout à fait possible.
00:02:09On ne peut pas l'écarter.
00:02:12Et donc, forcément, vous devez lui retirer une grande partie des permissions et
00:02:19des accès que vous lui aviez accordés, car vous ne pouvez pas lui faire entièrement confiance.
00:02:26Les conséquences potentielles sont trop graves pour que vous les acceptiez
00:02:33comme un simple risque acceptable.
00:02:35Mais bien sûr, en lui retirant ces accès et ces droits,
00:02:40il devient de moins en moins utile.
00:02:43Et il y a un autre souci.
00:02:46Même avec des permissions larges, vous n'en tirez pas autant que vous l'espériez.
00:02:54Car les tâches qu'on vous avait promises, il ne les faisait que de temps en temps.
00:03:00Certaines, il était incapable de les faire ; parfois il oubliait comment s'y prendre, ou
00:03:06faisait la même chose différemment à chaque fois, ou alors il avait besoin que vous l'aidiez
00:03:12constamment.
00:03:14Au final, vous n'êtes pas convaincu.
00:03:17Et c'est exactement — vous l'avez deviné — mon expérience avec OpenClaw.
00:03:22Et croyez-moi, j'ai essayé.
00:03:24J'ai lu et entendu
00:03:25tellement de bien à son sujet.
00:03:27Alors j'ai testé.
00:03:29J'ai configuré mon propre VPS.
00:03:31D'ailleurs, je ne le savais pas, mais on peut utiliser d'autres hébergeurs que Hostinger.
00:03:38Rien contre Hostinger, bien sûr.
00:03:39C'est juste l'impression que j'avais en regardant toutes ces vidéos.
00:03:43Bref, j'ai lancé mon VPS et j'y ai installé OpenClaw.
00:03:50Évidemment, vous pourriez aussi l'installer sur votre propre système.
00:03:54Il n'y a qu'une seule commande à lancer et c'est parti.
00:03:58Mais personnellement, je ne l'installerais jamais sur mon MacBook, même en sachant
00:04:04que je pourrais en tirer davantage si je le faisais.
00:04:09Je reviendrai plus tard sur les raisons pour lesquelles je ne l'ai pas fait
00:04:13et pourquoi je ne le ferai jamais.
00:04:15Donc, je l'ai installé sur mon VPS et j'ai suivi le processus d'onboarding.
00:04:19Je suis sûr que vous l'avez déjà vu plein de fois, ou peut-être l'avez-vous déjà fait
00:04:24vous-même.
00:04:25Je l'ai lié à mon abonnement ChatGPT+, j'ai configuré mon bot Telegram et
00:04:33j'étais enfin prêt à communiquer avec mon bot OpenClaw.
00:04:39Et là, je suis resté assis à chercher ce que je voulais qu'il fasse pour moi.
00:04:47Bien sûr, j'ai vu plein d'autres contenus où les gens s'en servaient pour
00:04:54créer des tableaux de bord, faire des recherches web, trouver des vols moins chers ou même acheter des trucs.
00:05:04Mais je n'avais pas envie de lui donner accès à ma carte bancaire.
00:05:08Et je ne sais pas pour vous, mais je ne prends pas l'avion trois fois par jour.
00:05:13Chercher ces vols moi-même, surtout avec les comparateurs qui existent,
00:05:19n'était pas une tâche insurmontable.
00:05:24Et j'aime sincèrement planifier mes voyages, mais je conçois que
00:05:29ce soit différent pour d'autres.
00:05:30Pour la recherche, le problème c'est que je suis déjà très satisfait des outils existants,
00:05:35comme le mode IA de Google, ou le « deep research » de Gemini ou ChatGPT.
00:05:43Je les utilise énormément.
00:05:44Je les trouve vraiment utiles.
00:05:46Je n'avais donc pas vraiment besoin de mon propre bot, qui risquait
00:05:53d'être moins performant, au final.
00:05:54Je comprends qu'il y ait des domaines où il pourrait être meilleur que ces autres
00:06:02services de recherche.
00:06:03Par exemple, si je lui donnais accès à mon compte X (Twitter),
00:06:10il pourrait faire des recherches là où il faut être connecté ou là où
00:06:16mon historique personnel compte.
00:06:17Ça, je le comprends tout à fait.
00:06:20C'est pour ça que j'utilise Super Grok, par exemple, pour faire des recherches sur X.
00:06:24Mais oui, je saisis que si on lui donne des permissions larges, qu'on le laisse se connecter à nos comptes,
00:06:31utiliser le navigateur ou tourner sur le système, on peut sûrement en tirer plus
00:06:37que ce que j'ai pu obtenir.
00:06:39Et peut-être que je manque tout simplement d'imagination.
00:06:43D'ailleurs, pour être clair — et je pense l'avoir déjà dit ailleurs —
00:06:47je suis un gros utilisateur d'IA, pas seulement pour la recherche, mais aussi pour le code.
00:06:53J'ai récemment sorti une formation complète sur ClotCode parce que j'utilise ClotCode
00:06:58et d'autres outils comme Cursor pour développer des logiciels.
00:07:01Je pense que l'IA est d'une aide précieuse dans ce domaine.
00:07:07Ce n'est donc pas un rejet général de l'IA.
00:07:09C'est juste que je n'ai pas trouvé de cas d'usage révolutionnaire pour OpenClaw, surtout sans le faire
00:07:16tourner sur ma propre machine.
00:07:17Et c'est là mon problème principal. On pourrait dire que
00:07:24je ne suis pas assez créatif ou ouvert d'esprit pour trouver les bons usages.
00:07:31Mais la sécurité est un énorme point noir pour moi avec OpenClaw.
00:07:37Je sais que certains vous diront qu'ils l'utilisent depuis des semaines sans problème
00:07:42ou que tout cela va s'améliorer.
00:07:47Pour le premier argument (« rien n'est arrivé »), ce n'est pas le genre
00:07:55de raisonnement qui me convainc. Ce n'est pas parce que vous n'avez pas eu de souci
00:08:02qu'il n'y a pas de failles majeures exploitables par des acteurs malveillants,
00:08:11ou que les choses ne peuvent pas déraper simplement parce que l'IA (les LLM)
00:08:18est imprévisible.
00:08:22Le risque qu'elle efface votre disque dur n'est pas énorme, il est même très faible,
00:08:28mais il n'est pas nul.
00:08:29Et il ne sera jamais nul avec les LLM sans contrôles supplémentaires.
00:08:35Ils peuvent être imprévisibles.
00:08:37De plus, dans la documentation de sécurité officielle d'OpenClaw, ils précisent bien
00:08:44que le problème de l'injection de prompt n'est pas résolu.
00:08:47Certes, les derniers modèles comme GPT-5.2 se sont améliorés pour se protéger
00:08:55contre les injections de prompt.
00:08:56Ils suivent mieux les instructions, les « system prompts », etc.
00:09:00Mais il n'existe pas de protection à 100 % contre l'injection de prompt.
00:09:06Et vu le fonctionnement des LLM, il n'y en aura probablement jamais.
00:09:10On ne peut donc pas écarter ces attaques. Et plus des outils comme
00:09:17OpenClaw deviennent populaires, plus ils attireront l'attention
00:09:23de personnes malintentionnées.
00:09:24Il y a plusieurs façons d'injecter des prompts dans un bot OpenClaw actif.
00:09:32On pourrait se dire : « Je suis le seul à lui parler via mon bot Telegram,
00:09:36j'ai un accès exclusif, donc je ne risque rien. »
00:09:40Détrompez-vous.
00:09:42Par exemple, OpenClaw utilise un système de « skills » (compétences),
00:09:48similaire à ce qu'on trouve sur des agents comme Claude Code.
00:09:50Le concept est le même.
00:09:52L'idée est de fournir un contexte supplémentaire, souvent un document Markdown,
00:09:59parfois couplé à des scripts exécutables, pour donner plus de capacités à l'agent.
00:10:06Par exemple, une documentation sur la façon d'interagir avec Slack.
00:10:11Comme ici.
00:10:13Et comme je le disais, une « skill » peut inclure un script que
00:10:18l'IA peut exécuter pour générer une image, envoyer un
00:10:23message sur Slack ou n'importe quoi d'autre.
00:10:26Le souci, c'est que ClawHub, le dépôt officiel des skills pour OpenClaw, permettait
00:10:34au départ à n'importe qui d'en soumettre.
00:10:37C'était donc facile de mener des attaques sur la chaîne d'approvisionnement, comme on en a vu sur NPM l'an dernier.
00:10:47En gros, un pirate peut publier une skill qui ordonne à l'IA
00:10:55de faire quelque chose de mal via une injection de prompt.
00:11:00Rien qu'en installant une skill malveillante, vous exposez votre agent
00:11:06à une attaque par injection.
00:11:07Des correctifs ont été apportés depuis.
00:11:10Au moment où j'enregistre ceci, tout le monde ne peut plus soumettre de skills.
00:11:15La sécurité a donc été grandement améliorée sur ce point.
00:11:18Mais si les attaques sur NPM nous ont appris quelque chose, c'est qu'on
00:11:24ne peut jamais exclure que ce système de hub soit utilisé pour injecter des instructions malveillantes
00:11:31dans votre configuration OpenClaw.
00:11:38Et ce n'est pas le seul vecteur d'injection.
00:11:41Si votre bot va sur Internet — et c'est probablement le cas — il va
00:11:46visiter des sites ou lire leur contenu.
00:11:50Il peut tomber sur des sites malveillants conçus pour piéger l'IA et l'inciter
00:11:58à suivre des commandes dissimulées dans la page.
00:12:02Tout texte que votre bot traite est, au final, un prompt.
00:12:09Chaque site visité peut donc contenir un prompt qu'il risque d'exécuter.
00:12:17Il y a aussi d'autres sources potentielles.
00:12:20Les e-mails, par exemple.
00:12:21Si votre bot traite vos e-mails entrants, chaque message peut agir comme un prompt.
00:12:29L'injection de prompt est donc un risque réel et massif.
00:12:34Et ce n'est pas parce qu'il ne vous est rien arrivé que ça n'arrivera jamais.
00:12:40Vous me direz peut-être : « Oui, mais mon bot tourne sur un VPS. »
00:12:45Ou alors vous utilisez MoldWorker, qui est un modèle de configuration
00:12:51fourni par Cloudflare, utilisant leurs services pour héberger et sécuriser
00:12:58OpenClaw.
00:13:00Et c'est ce qu'il faut faire.
00:13:02C'est indispensable.
00:13:03Il ne faut absolument pas le faire tourner sur votre système principal.
00:13:08Il existe aussi des fonctionnalités de « sandboxing » (bac à sable).
00:13:11C'est d'ailleurs intégré à OpenClaw.
00:13:15Ils ont tout un article de doc sur le sandboxing pour s'assurer que les agents
00:13:21tournent dans un conteneur Docker afin de limiter la zone d'impact en cas de pépin.
00:13:27D'ailleurs, la doc est volumineuse, mais pas forcément géniale.
00:13:32J'ai passé des heures, littéralement, à essayer de sécuriser mon installation.
00:13:37L'info y est sûrement.
00:13:39J'ai vu cet article sur la sécurité.
00:13:42C'est juste très, très laborieux.
00:13:44Et avant qu'on me dise que j'aurais dû demander à mon bot OpenClaw, je l'ai fait.
00:13:49Ça marchait parfois,
00:13:50parfois non. J'ai beaucoup tâtonné.
00:13:51C'était pas mal d'essais et d'erreurs.
00:13:52La documentation et la difficulté d'en extraire des infos utiles est un problème en soi,
00:14:00même si ça peut se corriger.
00:14:04J'apprécie au moins que l'information existe en théorie, soyons clairs.
00:14:09Bref, le sandboxing est disponible et permet de limiter les dégâts,
00:14:17ce qui est crucial puisque les failles d'injection de prompt ne sont
00:14:27pas vraiment solvables. Réduire la zone d'impact est donc vital.
00:14:34Si vous utilisez le sandboxing sur un VPS, le pire qui puisse arriver est que
00:14:40le contenu du sandbox soit effacé ou, selon votre configuration, tout votre VPS,
00:14:46mais pas votre ordinateur personnel.
00:14:50C'est pour ça que je ne lancerai jamais OpenClaw sur ma machine principale.
00:14:57Je ne veux absolument pas qu'il puisse supprimer mes fichiers ou mon disque dur.
00:15:02Réduire la zone d'impact est important, mais ça ne protège pas
00:15:07contre le pire.
00:15:10Car avec une injection de prompt, un attaquant peut essayer d'effacer des fichiers,
00:15:15mais il peut faire pire encore : il peut voler des données.
00:15:19L'exfiltration de données est, à mon sens, un problème bien plus grave
00:15:29que la simple suppression de fichiers.
00:15:31Et l'exfiltration est un risque à 100 % réel lors d'une injection de prompt,
00:15:39car un pirate pourrait forcer l'IA à rassembler tous les secrets qu'elle connaît,
00:15:44tous vos mots de passe (et elle doit en connaître pour accéder à vos mails, par exemple),
00:15:49ou peut-être votre numéro de carte bancaire.
00:15:55Toutes ces données pourraient être collectées via une injection de prompt
00:16:01et exfiltrées.
00:16:04C'est un risque bien plus grand que l'effacement du disque si l'outil est bien configuré.
00:16:12Elle pourrait aussi faire autre chose.
00:16:14Comme transformer votre VPS en bot pour des attaques DDoS.
00:16:21Ce n'est qu'un exemple parmi tant d'autres, les possibilités sont infinies.
00:16:26Mais l'essentiel à retenir, c'est que via l'injection de prompt, des pirates peuvent
00:16:33prendre le contrôle de votre bot et donc de votre machine.
00:16:36Ils peuvent forcer le bot à installer des logiciels malveillants, à modifier la configuration
00:16:42système (selon ses droits d'accès) et ainsi prendre le contrôle
00:16:47total de votre VPS ou de votre ordinateur.
00:16:49Voilà ce qui peut arriver.
00:16:52Le mot-clé ici, ce sont les droits d'accès, et le sandboxing en est un pilier.
00:16:59Mais ça ne suffit pas.
00:17:00Vous pouvez configurer votre bot pour qu'il demande une approbation
00:17:01en mode sandbox, du moins pour certaines tâches.
00:17:09Mais cela va un peu à l'encontre de l'idée d'un bot qui travaille en arrière-plan
00:17:14pendant que vous n'êtes pas là, si vous devez valider
00:17:19la moindre action qu'il veut soudainement entreprendre.
00:17:26Ça devient vite agaçant. On finit par ne plus lire ce qu'il demande,
00:17:29on valide tout par réflexe, ou on finit par désactiver l'option
00:17:33parce que c'est insupportable.
00:17:38Encore une fois, l'outil perd de son utilité s'il faut tout approuver manuellement.
00:17:39Mettez tout ça bout à bout : les failles de sécurité, l'impossibilité de le faire tourner
00:17:44de façon sûre et satisfaisante, et le manque de cas d'usage vraiment bluffants...
00:17:52Résultat : j'ai arrêté d'utiliser OpenClaw.
00:17:58C'est sans doute différent pour vous, et j'ai vu des gens très enthousiastes.
00:18:01Il est possible que l'avenir des assistants personnels par IA ressemble à ça.
00:18:06Il est possible que de meilleurs mécanismes de sécurité soient inventés pour
00:18:07ne plus nécessiter d'approbation constante, ou pour rendre le processus plus fluide,
00:18:11permettant ainsi d'utiliser ces assistants en toute sécurité.
00:18:18C'est tout à fait possible.
00:18:19Je ne l'exclus pas.
00:18:27Et c'est un exploit impressionnant qu'un seul développeur ait conçu cet outil.
00:18:34Même si, bien sûr, ne pas regarder le code a un prix : les nombreux bugs
00:18:38et problèmes de sécurité en sont la preuve.
00:18:39Non pas qu'un logiciel soit parfait si on révise tout, mais ne pas jeter
00:18:43un œil au code n'aide certainement pas, à mon avis.
00:18:48Mais n'empêche, c'est une prouesse. Et si vous vous demandez pourquoi
00:18:56OpenAI ou Google n'ont pas sorti un tel produit, c'est peut-être par manque d'innovation,
00:18:59mais c'est aussi parce qu'un tel outil ne peut exister pour l'instant qu'en
00:19:05Open Source, sans obligations légales.
00:19:09Google ne pourrait jamais vendre un truc pareil avec des permissions aussi larges.
00:19:14Toutefois, c'est peut-être l'étincelle qui nous donnera des assistants IA
00:19:20plus sûrs et plus utiles à l'avenir.
00:19:26Un petit mot aussi sur Moldbook : ça, je n'ai absolument rien compris.
00:19:34C'était censé être un réseau social réservé aux IA, mais il s'est avéré que c'était
00:19:38très orchestré par des humains, un peu bidon d'après ce que j'ai compris,
00:19:44et bourré de failles de sécurité béantes. Enfin bon...
00:19:50L'IA a des côtés positifs, j'imagine, mais aussi beaucoup d'implications négatives.
00:19:58Ce truc-là n'est pas ce dont le monde a besoin, à mon humble avis.
00:20:05Mais OpenClaw, c'est intéressant, peut-être très utile pour vous,
00:20:14mais ce n'est pas franchement ma tasse de thé — ou de café — pour le moment.
00:20:24I guess, AI has a lot of negative implications.
00:20:29This thing here is not something the world needs in my opinion.
00:20:33But yeah, OpenClaw, definitely interesting, maybe super useful for you, definitely not
00:20:41my cup of tea coffee right now.