Alerte 360 : Une vulnérabilité critique dans OpenClaw pourrait entraîner la fuite de données de plus de 170 000 instances dans plus de 50 pays

Récemment, le groupe de sécurité numérique 360 a révélé que son système de détection de vulnérabilités basé sur une intelligence artificielle collaborative, le système 360 multi-agent, a découvert une vulnérabilité critique dans la plateforme open source d'agents IA OpenClaw ;

Cette vulnérabilité, nommée « Fuite de fichiers locaux via injection de prompt dans le protocole MEDIA et contournement des permissions », a été officiellement confirmée par la base nationale de vulnérabilités de sécurité de l'information (CNNVD).

Selon le document de divulgation, cette vulnérabilité se trouve dans le module de traitement média central de la version OpenClaw 2026.3.13, caractérisée par trois principaux risques : faible seuil d'attaque, large portée d’impact, et gravité élevée.

Le risque principal réside dans le fait que le protocole MEDIA fonctionne dans la couche de traitement après sortie, pouvant contourner complètement la stratégie de contrôle des outils de la plateforme. En termes simples, même si l'agent désactive tous les outils, un attaquant peut lancer une attaque en utilisant uniquement les permissions de membre de base dans un chat de groupe, et voler des informations sensibles du serveur.

Selon l’évaluation, cette vulnérabilité concerne plus de 50 pays et régions dans le monde, avec plus de 170 000 instances OpenClaw accessibles au public exposées à un risque de sécurité. Actuellement, 360 a validé indépendamment la chaîne d’attaque de la vulnérabilité et a fourni des recommandations de correction à la plateforme.

La découverte de cette vulnérabilité confirme également le jugement antérieur du fondateur de 360, Zhou Hongyi. Selon lui, à l’ère des agents intelligents, les scans de vulnérabilités traditionnels sont devenus obsolètes, car les agents malveillants peuvent attaquer automatiquement 7×24 heures, et l’industrie de la sécurité évolue d’une confrontation homme contre homme vers une confrontation asymétrique entre humains et machines.

Ces vulnérabilités soulignent que, avec le développement rapide de la technologie des agents, les risques de sécurité s’étendent rapidement du niveau du modèle à celui des interfaces, des chaînes d’appel de compétences et des permissions système, mettant en évidence la nécessité de construire un système de sécurité complet.

Dans l’ensemble, les défis de sécurité à l’ère des agents s’étendent désormais de la couche unique à l’ensemble de la pile technologique, nécessitant une collaboration entre fournisseurs de sécurité, développeurs de plateformes et utilisateurs pour établir des mécanismes de protection plus robustes, afin d’assurer un développement sain de la technologie des agents.

#OpenClaw #Vulnérabilité des agents