makedream
7:32AI LABS
Log in to leave a comment
No posts yet
OpenClaw (anciennement Clawdbot), l'agent IA qui modifie les fichiers de votre ordinateur et exécute des commandes dans le terminal, enflamme GitHub. Il semble que l'ère de l'IA souveraine soit arrivée, dépassant le simple chatbot enfermé dans la prison d'un navigateur pour gérer directement votre PC.
Cependant, ne vous y trompez pas. Ce n'est pas parce que c'est de l'open source que c'est gratuit, et ce n'est pas parce que l'installation est locale que c'est forcément sûr. Faire fonctionner OpenClaw sans un pare-feu adéquat revient à sortir de chez soi en laissant la porte d'entrée grande ouverte. Si vous ne voulez pas faire face à une facture API de plusieurs milliers d'euros le mois prochain ou à une prise de contrôle totale de votre système, vous devez impérativement affronter les risques suivants.
OpenClaw échange une quantité de données bien plus massive qu'un chatbot ordinaire. Cela est dû à sa structure où il renvoie périodiquement des signaux de "heartbeat" pour maintenir l'état de l'agent, ainsi que l'intégralité du contexte de la conversation au modèle.
Selon les analyses du secteur de la sécurité, la vitesse de consommation de jetons (tokens) d'OpenClaw est 10 à 100 fois supérieure à celle des services classiques. Il est fréquent de voir des factures dépassant les 100 $ par mois, même sans demander de tâches spécifiques, simplement en laissant activés les programmes d'automatisation. Pour les "power users" intensifs, la note peut s'élever à plusieurs milliers de dollars par mois.
Plus la conversation s'étire, plus OpenClaw consulte incessamment les fichiers Markdown contenant sa mémoire et son "âme". Avec l'accumulation du contexte, les réponses qui arrivaient initialement en quelques secondes s'allongent progressivement jusqu'à prendre plusieurs minutes. Si le coût est un frein, l'intégration d'Ollama pour utiliser des modèles locaux est une alternative. Gardez toutefois à l'esprit qu'un minimum de 16 Go de VRAM est nécessaire pour traiter des raisonnements complexes.
La conception d'OpenClaw a privilégié le confort de l'utilisateur, laissant ainsi des failles de sécurité béantes.
La faiblesse la plus critique réside dans le fait que les clés API et les données de session de l'utilisateur sont stockées dans des fichiers JSON sans aucun chiffrement. Si votre système est infecté par un malware et que ce chemin est exposé, un attaquant pourra utiliser vos comptes Anthropic ou OpenAI comme s'il était chez lui et vider votre solde API.
ClawHub, qui propose des extensions, est déjà la cible d'attaquants. Des "skills" déguisés en utilitaires populaires peuvent exécuter discrètement des scripts shell lors de l'installation pour exfiltrer vos clés SSH ou vos mots de passe enregistrés dans le navigateur vers des serveurs externes.
Malgré ses risques évidents, OpenClaw reste un outil fascinant. Pour l'utiliser en toute sécurité tout en contrôlant les risques, appliquez immédiatement les mesures suivantes :
Une intelligence dépourvue de sécurité finit par devenir une arme pointée contre vous. Vérifiez dès maintenant si vos données sont exposées dans le chemin d'installation et redéployez l'outil dans un environnement isolé. La compréhension technique et une suspicion rigoureuse sont vos seuls remparts pour protéger vos actifs et vos données.