Sous la vague de la popularité de l’élevage de homards, comment préserver la sécurité de base ?

“Récemment au bureau, la moitié des gens parlent de ‘élever des homards’, l’autre moitié apprennent comment ‘élever des homards’.” Le 13 mars, Li Yao, chef de produit dans une entreprise internet à Pékin, a expliqué au journaliste que le ‘élevage de homards’ dont ses collègues discutent n’est pas une aquaculture réelle, mais une référence à l’entraînement et au déploiement personnalisés du cadre d’IA open source OpenClaw, récemment publié.

Parce que l’icône représente un homard rouge, OpenClaw est surnommé ‘homard’ par tout le monde. Contrairement à une IA ordinaire, il peut, en intégrant des logiciels de communication et de grands modèles linguistiques, exécuter de manière autonome des tâches complexes telles que la gestion de fichiers, l’envoi et la réception de courriels, le traitement de données sur l’ordinateur de l’utilisateur.

Pourquoi ce ‘homard’ suscite-t-il une telle vague de popularité ? Quels risques de sécurité comporte-t-il ? Le journaliste du « Workers’ Daily » a mené une enquête.

Plusieurs régions ont lancé des politiques de soutien liées à ‘l’homard’

En tant que premier IA intelligent à attirer l’attention nationale cette année, qu’est-ce qui rend ‘l’homard’ si spécial ?

‘L’IA ordinaire fonctionne principalement par dialogue : après une question, l’utilisateur ne peut obtenir qu’une réponse ou une étape d’opération. Le ‘homard’ est typiquement ‘actif’. Il suffit que l’utilisateur propose un objectif, il peut directement manipuler divers outils pour réaliser tout le processus,’ explique un blogueur technologique ayant travaillé dans une grande entreprise internet, ‘Suivez Ah Liang pour apprendre l’IA’. Par exemple, s’il lui demande de trier des courriels importants, il ouvrira automatiquement la boîte mail, filtrera le contenu et rédigera un brouillon de réponse, ‘sans que l’utilisateur ait besoin d’intervenir’.

Yu Jingwen, ingénieure en IA au laboratoire d’expérimentation en créativité numérique AIIT de l’Université de Pékin, indique : ‘Contrairement à des grands modèles linguistiques comme ChatGPT, OpenClaw n’est pas un simple chatbot, mais un ‘employé numérique’ capable d’obtenir des permissions sur le système d’exploitation local, d’appeler divers outils, de planifier des étapes selon des instructions en langage naturel, et d’exécuter automatiquement des tâches complexes.’

‘Les grands modèles d’IA traditionnels, même très avancés, restent limités à leur domaine spécifique, incapables de collaborer entre eux. La force principale de ‘l’homard’ est qu’il brise ces barrières entre différents grands modèles, mobilisant réellement toutes leurs fonctions et leur valeur,’ explique Yu Jingwen. ‘On peut donc dire qu’OpenClaw représente une innovation disruptive, à la fois pont et lien dans l’industrie de l’IA.’

Face à cette vague, plusieurs régions ont rapidement réagi. Selon des statistiques incomplètes, jusqu’au 12 mars, plusieurs localités comme le district de Longgang à Shenzhen, la zone de haute technologie de Wuxi, la zone de haute technologie de Hefei, la ville de Changshu à Suzhou, la zone de Qixia à Nanjing, et le district de Xiaoshan à Hangzhou ont lancé des politiques de soutien liées à ‘l’homard’. Certaines ont aussi proposé des services gratuits de déploiement ‘petit homard’ pour le public.

‘L’homard’ cache plusieurs risques de sécurité

Malgré l’enthousiasme général pour ‘l’élevage de homards’, les premiers utilisateurs n’ont pas tous été satisfaits.

‘Globalement, ce n’est pas aussi miraculeux que ce qui est annoncé en ligne,’ confie Li Yao. ‘Utiliser efficacement ‘l’homard’ nécessite d’ouvrir les permissions de diverses applications sur l’ordinateur. Par prudence, je n’ai pas accordé trop de permissions, donc je trouve que les résultats sont limités.’

Yu Jingwen analyse : ‘La capacité principale d’OpenClaw réside dans la manipulation et le contrôle d’applications et d’outils. Pour cela, l’utilisateur doit lui accorder de nombreuses autorisations, notamment pour la messagerie, les logiciels de bureautique, et diverses plateformes backend. C’est comme si vous vouliez que quelqu’un nettoie votre maison : il faut lui donner les clés de toutes les pièces.’ Elle compare : ‘Accorder toutes ces permissions peut entraîner des risques de fuite de données pour les particuliers et les entreprises.’

Le 10 mars, le Centre national d’urgence Internet a publié un ‘Avertissement sur les risques liés à la sécurité d’OpenClaw’ (ci-après ‘l’Avertissement’), précisant que pour réaliser la ‘capacité d’exécution autonome des tâches’, cette application se voit attribuer des permissions système élevées. Mais sa configuration de sécurité par défaut est très vulnérable, et un attaquant qui découvre une faille peut facilement prendre le contrôle total du système.

L’Avertissement indique qu’à ce jour, plusieurs vulnérabilités critiques ont été découvertes dans OpenClaw. Si exploitées malicieusement par des cyberattaquants, elles peuvent entraîner la prise de contrôle du système, la fuite de données privées et sensibles. ‘Pour un utilisateur individuel, cela peut conduire à la fuite de données personnelles (photos, documents, conversations), de comptes de paiement, etc. ; pour une entreprise, cela peut entraîner la fuite de données clés et de secrets commerciaux, causant des pertes incalculables,’ analyse Yu Jingwen.

L’avocat Zhou Zichuan, du cabinet Han Ding à Pékin, indique : ‘Pour exécuter les commandes de l’utilisateur, ‘l’homard’ peut, sans contrôle, collecter directement ou indirectement une grande quantité de données diverses sur tout le réseau. La quantité, les permissions d’accès, et la sensibilité des données collectées dépassent souvent le contrôle de l’utilisateur, ce qui peut constituer une infraction à la loi sur la collecte illégale de données informatiques ou à la protection des informations personnelles.’

‘De plus, beaucoup d’utilisateurs, pour plus de commodité, font appel à des tiers pour déployer ‘l’homard’ moyennant paiement. Or, ces tiers ne disposent pas forcément de protections de sécurité adéquates, ce qui peut entraîner l’exposition des données de l’appareil, ou permettre à des attaquants de prendre le contrôle à distance via des codes malveillants, et de voler des informations sensibles,’ ajoute Zhou Zichuan.

Face à la vague, il faut renforcer la sécurité

Le rapport du gouvernement de cette année a proposé d’approfondir le développement de ‘l’intelligence artificielle+’, de promouvoir la commercialisation à grande échelle des nouveaux terminaux intelligents et des agents intelligents, et de favoriser l’application commerciale de l’IA dans des secteurs clés.

‘L’émergence de ‘l’homard’ offre une nouvelle voie pour la mise en œuvre concrète de l’IA. Si son usage est réglementé, il peut exploiter pleinement le potentiel des agents IA existants, améliorant considérablement l’efficacité du travail des particuliers et des entreprises,’ indique Yu Jingwen. ‘Le développement sain de ‘l’homard’ repose sur un équilibre entre commodité et sécurité.’

‘Les nouvelles caractéristiques technologiques que présentent ‘l’homard’ et autres agents IA compliquent davantage les questions juridiques liées à l’IA,’ explique Zhou Zichuan. Par exemple, la question cruciale de ‘l’ambiguïté de la responsabilité’ : lorsque ‘l’homard’ ou d’autres agents IA agissent selon les instructions de l’utilisateur et causent des infractions ou des actes illicites, il faut clarifier la responsabilité entre développeurs, déployeurs et utilisateurs, ce qui nécessite une législation précise.

Pour les développeurs et fournisseurs de produits IA, Zhou Zichuan recommande : d’une part, respecter les obligations légales telles que la protection des données personnelles, en assurant notamment la conservation et la traçabilité des logs de traitement. D’autre part, renforcer la conscience de conformité légale lors de l’opération, notamment par une gestion renforcée des permissions IA et une vérification stricte des instructions.

Le ‘Avertissement’ publié par le Centre national d’urgence Internet donne aussi des conseils précis : lors du déploiement et de l’utilisation d’OpenClaw, il faut isoler strictement l’environnement d’exécution, utiliser des technologies comme les conteneurs pour limiter les permissions excessives, et gérer rigoureusement l’origine des plugins, tout en surveillant les correctifs et les centres de sécurité.

‘Avant de ‘élever un homard’, l’utilisateur doit d’abord évaluer soigneusement ses bénéfices et ses risques, déterminer s’il en a vraiment besoin pour résoudre un problème, puis décider de le déployer,’ rappelle Yu Jingwen. ‘Pendant l’utilisation, il faut aussi segmenter les données et protéger la vie privée, et ne pas suivre aveuglément la tendance en exposant ses données et sa vie privée à des risques.’