OpenClaw "Claw Chain" : 4 failles chainées qui exposent vos agents IA auto-hébergés
245 000 serveurs OpenClaw exposés publiquement. Un sandbox escape CVSS 9.6, un vol de clés API, une escalade de privilèges et une backdoor persistante - le tout chainé en une seule attaque.

Analyse expert 2LKATIME - Integrateur OpenClaw certifié
2LKATIME déploie et audité des instances OpenClaw pour des PME françaises. Cet article est basé sur l'analyse technique publiee par Cyera Research, les 4 CVE officielles, et notre expérience directe de la configuration sécurisée d'agents IA auto-hébergés.
Cyera Research vient de publier "Claw Chain" - la découverte de quatre vulnérabilités chainées dans OpenClaw qui permettent a un attaquant de s'échapper du sandbox, voler des clés API et tokens secrets, escalader ses privilèges jusqu'au contrôle total de l'agent, puis planter une backdoor persistante. 245 000 instances OpenClaw sont actuellement exposées publiquement sur internet selon Shodan et ZoomEye. Si votre entreprise fait tourner un agent IA OpenClaw, cette information vous concerne directement.
Ce n'est pas une faille théorique. La chaîne d'exploitation est documentée, les CVE sont publiées, et le point d'entrée - une simple injection de prompt ou un plugin malveillant - est accessible sans accès physique au serveur. Voici ce que vous devez comprendre, et surtout ce que vous devez faire dans les prochaines heures.
1. 245 000 serveurs exposés : l'ampleur réelle du problème OpenClaw
OpenClaw s'est imposé comme l'une des plateformes d'agents IA auto-hébergées les plus utilisées en Europe, notamment comme alternative souveraine aux solutions SaaS américaines. C'est précisément ce positionnement "auto-hébergé, donc sous contrôle" qui crée un faux sentiment de sécurité - et qui explique pourquoi autant d'instances sont directement accessibles depuis internet.
245K
Serveurs OpenClaw exposés sur internet
9.6
Score CVSS de la faille principale
4
CVE chainées pour compromission totale
2026.4.22
Version patchée disponible
La surface d'attaque est particulièrement préoccupante parce qu'OpenClaw est par nature connecté a tout : vos emails, votre CRM, vos basés de données, vos APIs internes. Un agent IA compromis n'est pas seulement un serveur piraté - c'est un pivot vers la totalité de votre système d'information. Les entreprises de Nantes et Strasbourg qui ont déployé OpenClaw dans le cadre de leur transformation numérique peuvent contacter nos équipes pour un audit de leur instance.
Les 65 000 instances détectées par Shodan et les 180 000 par ZoomEye se recoupent partiellement, d'ou le chiffre total de 245 000. Même si votre instance n'est pas directement sur internet, elle peut être atteinte via prompt injection - un document malveillant traité par votre agent suffit.
2. Les 4 failles Claw Chain : ce que chacune fait concrètement
Cyera Research a identifié quatre vulnérabilités qui fonctionnent individuellement, mais qui deviennent dévastatrices quand elles sont chainées dans l'ordre. Voici ce que chacune permet en pratique.
CVE-2026-44112 - Sandbox escape en écriture
Race condition TOCTOU dans le backend OpenShell. Le sandbox vérifie les droits d'accès à un chemin, puis entre la vérification et l'écriture, un attaquant substitue le chemin par un lien symbolique pointant hors du sandbox. Résultat : écriture arbitraire sur le système de fichiers hôte - idéal pour planter des backdoors dans les configs systèmes ou les crons.
CVE-2026-44115 - Fuite de clés API et tokens secrets
Gap entre la validation des commandes et leur exécution shell. Les variables d'environnement - incluant clés API, tokens OAuth, mots de passe - sont expandues dans des heredocs non quotés après la validation. Un attaquant peut extraire toutes les credentials configurées dans OpenClaw via des commandes qui semblent anodines lors de la vérification.
CVE-2026-44118 - Escalade de privilèges gateway
OpenClaw fait confiance à un flag client-contrôlé appelé senderIsOwner pour autoriser les outils réservés aux administrateurs - sans valider ce flag contre la session authentifiée. Un client loopback non-propriétaire peut simplement passer ce flag à true et obtenir le contrôle total du runtime de l'agent : configuration, cron scheduling, environnement d'exécution.
CVE-2026-44113 - Sandbox escape en lecture
Même mécanisme TOCTOU que CVE-44112 mais pour la lecture. Permet de lire des fichiers arbitraires hors du sandbox - /etc/passwd, clés SSH, fichiers de configuration internes, secrets d'autres applications hébergées sur le même serveur.
3. La chaîne d'exploitation : de l'injection de prompt à la backdoor persistante
Ce qui rend Claw Chain particulièrement dangereux, c'est que le point d'entrée ne nécessite pas d'accès réseau direct au serveur OpenClaw. Un document malveillant traité par votre agent - email, PDF, page web scrapée - suffit pour déclencher la chaîne complète.
| Étape | Action de l'attaquant | CVE exploitée | Résultat |
|---|---|---|---|
| 1 | Injection de prompt via donnée externe (email, doc, API) | - | Exécution de code dans le sandbox OpenShell |
| 2 | Lecture de fichiers hors sandbox via symlink TOCTOU | CVE-44113 | Accès aux fichiers secrets du serveur |
| 3 | Extraction des variables d'environnement via heredoc | CVE-44115 | Vol de toutes les clés API et tokens |
| 4 | Impersonation owner via flag senderIsOwner=true | CVE-44118 | Contrôle total du runtime agent |
| 5 | Ecriture hors sandbox via symlink TOCTOU | CVE-44112 | Backdoor persistante sur le système hote |
Ce scenario correspond exactement aux vecteurs d'attaque que nous documentions dans notre analyse des attaques LLM sur les PME. La prompt injection comme point d'entrée sur un agent IA connecté à des ressources critiques n'est plus un risque théorique - c'est la réalité opérationnelle de mai 2026.
Contrairement à une faille classique qui nécessite un accès réseau direct, Claw Chain peut être déclenché par n'importe quelle donnée que votre agent traite - ce qui inclut les emails de vos clients, les documents de vos fournisseurs et les résultats de recherche web. La surface d'attaque est par définition aussi large que les sources de données de votre agent.
4. Impact PME : clés API volées, RGPD, et responsabilité légale
Pour une PME française, les conséquences de Claw Chain vont bien au-delà de la compromission technique. Les agents OpenClaw sont souvent connectés aux APIs les plus critiques de l'entreprise : CRM, ERP, outils de facturation, messagerie. CVE-2026-44115 exfiltre toutes ces credentials en une seule exploitation.
Ce que l'attaquant obtient via CVE-44115
- - Clés API de vos connecteurs (Salesforce, HubSpot, SAP...)
- - Tokens OAuth de votre messagerie (Gmail, Outlook)
- - Identifiants de basés de données connectées
- - Webhooks et secrets de signature
- - Clés d'API OpenAI, Anthropic, ou autre LLM utilisé
Obligations légales post-incident
- - Notification CNIL obligatoire sous 72h (RGPD Art. 33)
- - Notification des personnes affectées si risque élevé
- - Documentation de l'incident et mesures prises
- - Sous NIS2 : notification supplémentaire selon le secteur
- - Risque d'amende CNIL jusqu'a 4% du CA annuel mondial
La backdoor persistante installée via CVE-2026-44112 est particulièrement problématique d'un point de vue légal : elle signifie qu'une compromission peut avoir eu lieu semaines ou mois avant la découverte, rendant impossible de délimiter précisément le périmètre des données exfiltrées. Les entreprises de Lille et Toulouse exposées doivent considérer un audit forensique en plus de la mise à jour.
5. Patcher et durcir votre instance OpenClaw : guide complet
Le patch est disponible dans OpenClaw 2026.4.22, publié le 23 avril 2026. Si vous n'êtes pas encore sur cette version, voici les étapes dans l'ordre de priorité.
Étape 1 - Mise à jour immédiate (priorité absolue)
Mettez a jour vers OpenClaw 2026.4.22 qui adresse les 4 CVE (GHSA-5h3g-6xhh-rg6p, GHSA-wppj-c6mr-83jj, GHSA-r6xh-pqhr-v4xh, GHSA-x3h8-jrgh-p8jx). Vérifiez votre version actuelle et planifiez la mise à jour dans les 24 heures.
# Si inferieur a 2026.4.22 : mettre à jour maintenant
Étape 2 - Retirer l'exposition publique
N'exposez jamais l'interface OpenClaw directement sur internet. Placez-la derriere un VPN ou un tunnel SSH. Vérifiez vos règles firewall : seuls vos postes de travail autorisés doivent pouvoir joindre le port OpenClaw.
Étape 3 - Audit des variables d'environnement
Listez toutes les variables d'environnement configurées dans votre instance. Supprimez toutes celles non indispensables. Pour les clés API critiques, utilisez un gestionnaire de secrets (Vault, AWS Secrets Manager) plutot que des variables d'environnement directes.
Étape 4 - Audit des plugins tiers
Listez tous les plugins installés. Supprimez ceux non utilisés. Pour les plugins tiers, vérifiez leur source et leur date de dernière mise à jour. Un plugin malveillant ou compromis est le vecteur d'entrée le plus probable de Claw Chain.
Étape 5 - Rotation des credentials post-patch
Même après le patch, si votre instance était exposée, considérez que vos clés API ont peut-être été exfiltrées. Effectuez une rotation de toutes les credentials configurées dans OpenClaw : clés API, tokens OAuth, mots de passe de basés de données.
FAQ - OpenClaw Claw Chain et sécurité des agents IA
Mon instance OpenClaw est-elle vulnérable aux failles Claw Chain ?
Oui si vous tournez une version antérieure à OpenClaw 2026.4.22. Les quatre CVE affectent toutes les versions précédentes. Vérifiez avec openclaw --version. Si votre instance était exposée publiquement avant la mise à jour, auditez vos logs pour détecter une exploitation éventuelle.
Qu'est-ce qu'une attaque TOCTOU et pourquoi est-elle dangereuse dans OpenClaw ?
TOCTOU signifie Time-Of-Check / Time-Of-Use. Le sandbox vérifie les droits d'accès à un chemin à l'instant T, puis effectue l'opération à T+1. Entre les deux, l'attaquant substitue le chemin par un lien symbolique vers un fichier hors sandbox. Le kernel Linux exécuté alors l'opération sur le fichier réel - lecture ou écriture arbitraire sur le système hôte.
Claw Chain peut-il être exploité sans accès réseau direct ?
Oui, via prompt injection. Un document malveillant traité par votre agent - email d'un client, PDF d'un fournisseur, résultat de recherche web - peut injecter des instructions déclenchant la chaîne. Pour les 245 000 instances exposées sur internet, une requête API directe suffit. C'est la combinaison des deux vecteurs qui rend Claw Chain particulièrement difficile à contenir.
Comment sécuriser mon instance OpenClaw au-delà du patch ?
Après la mise à jour : ne jamais exposer l'interface admin sur internet (VPN obligatoire), limiter les variables d'environnement au strict nécessaire, utiliser un gestionnaire de secrets pour les credentials critiques, auditer régulièrement les plugins installés, activer les logs d'audit fichiers système, isoler l'agent dans son propre namespace réseau.
2LKATIME peut-il auditer mon instance OpenClaw ?
Oui. Nos pentesteurs seniors (OSCP, OSEP) réalisent des audits complets d'instances OpenClaw : configuration sandbox, exposition réseau, plugins tiers, variables d'environnement exposées, et tests d'exploitation des 4 CVE Claw Chain. Nous proposons aussi la rotation sécurisée des credentials et la mise en place d'une surveillance continue. Première consultation offerte en 30 minutes.
Votre instance OpenClaw est-elle déjà compromise ?
Claw Chain peut avoir été exploité avant que vous n'ayez lu cet article. 2LKATIME réalise des audits forensiques d'instances OpenClaw pour déterminer si une compromise a eu lieu, identifier les données potentiellement exfiltrées, et mettre en place les mesures correctives. Première consultation offerte - réponse sous 4 heures pour les cas urgents.