Claw Chain : 4 CVE chaînées exposent 245 000 agents IA OpenClaw

Ce qui s'est passé

Cyera Research a publié le 15 mai 2026 une recherche détaillée sur quatre vulnérabilités précédemment inconnues dans OpenClaw, l'une des plateformes open-source à plus forte croissance pour le déploiement d'agents IA autonomes en entreprise. L'ensemble, baptisé Claw Chain, peut être combiné pour permettre à un attaquant d'obtenir un point d'ancrage, d'exfiltrer des données sensibles, de monter en privilèges puis d'implanter une porte dérobée persistante. The Hacker News, Cybersecurity News, Oasis Security et Sangfor ont relayé l'analyse dans les heures suivantes, contribuant à propulser le sujet en tête des fils cybersécurité du week-end.

La première faille, CVE-2026-44112, est une condition de course de type Time-Of-Check Time-Of-Use (TOCTOU) dans le backend de sandbox OpenShell utilisé par OpenClaw pour isoler l'exécution des outils invoqués par les agents. En exploitant le décalage entre la validation du chemin demandé et l'opération d'écriture effective, un attaquant peut rediriger l'écriture hors du mount root prévu, ce qui revient à écraser des fichiers de configuration ou des scripts d'initialisation arbitraires sur l'hôte.

La seconde, CVE-2026-44113, est le pendant lecture du même défaut TOCTOU. Elle permet à un opérateur d'agent ou à un prompt manipulé d'inciter le sandbox à révéler des fichiers sensibles situés hors de l'arborescence autorisée — clés SSH stockées sous /root/.ssh, fichiers d'identifiants dotenv ou tokens applicatifs gérés par systemd. La portée est d'autant plus inquiétante que de nombreuses installations OpenClaw exécutent les workers sous un compte privilégié pour pouvoir interagir avec des outils système comme docker ou kubectl.

CVE-2026-44115 attaque une faille de cohérence entre la validation des commandes par l'allowlist OpenClaw et leur exécution réelle dans le shell. Les variables d'environnement — typiquement OPENAI_API_KEY, ANTHROPIC_API_KEY, AWS_ACCESS_KEY_ID — sont expansées par le shell à l'intérieur de heredocs non-quotés que la couche de validation considérait sûrs au moment de l'analyse statique. Conséquence : un agent peut récupérer ses propres secrets et les exfiltrer dans la sortie d'une commande apparemment anodine comme un echo, un curl ou un cat ciblant un fichier inoffensif.

La dernière vulnérabilité, CVE-2026-44118, est la pièce maîtresse de la chaîne. Le canal interne MCP (Model Context Protocol) qu'OpenClaw expose en loopback pour orchestrer ses agents accepte un flag senderIsOwner provenant du client, sans validation contre la session authentifiée du token bearer. Un processus local possédant un bearer token valide — même de simple lecteur — peut donc se déclarer owner et reprendre le contrôle de la configuration de la gateway, de l'ordonnancement cron interne et de la définition des environnements d'exécution. L'enchaînement complet 44112+44113+44115+44118 permet à un attaquant disposant d'un accès au sandbox d'arriver en quelques secondes à un compromis total de l'instance.

Cyera s'est appuyé sur Shodan et ZoomEye pour quantifier l'exposition. Au 15 mai 2026, environ 65 000 instances OpenClaw sont visibles depuis Shodan, et 180 000 depuis ZoomEye, qui ratisse plus large grâce à ses scans IPv6. En éliminant les doublons et en croisant les empreintes JA3, l'estimation consolidée tourne autour de 245 000 serveurs OpenClaw publiquement accessibles à travers le monde. Les secteurs les plus exposés sont les services financiers, la santé et le juridique, où les agents OpenClaw traitent fréquemment des données PII, PHI ou des identifiants à privilège.

Suite à la divulgation responsable, OpenClaw a publié les correctifs dans la version 2026.4.22, datée du 23 avril 2026. Les advisories GitHub référencés — GHSA-5h3g-6xhh-rg6p, GHSA-wppj-c6mr-83jj, GHSA-r6xh-pqhr-v4xh, GHSA-x3h8-jrgh-p8jx — détaillent les changements de code et les contournements possibles pour les organisations qui ne peuvent pas immédiatement appliquer la mise à jour. Cyera précise toutefois que la fenêtre entre le commit du patch et la divulgation publique a été délibérément longue pour permettre aux opérateurs critiques d'amortir l'effort de mise à jour : la majorité des instances scannées au 15 mai tournent encore sur des versions antérieures à 2026.4.22.

Pourquoi c'est important

Claw Chain est emblématique d'une nouvelle frontière de la sécurité applicative : celle des plateformes d'agents IA. À mesure que les organisations migrent leurs workflows métier vers des architectures où des LLMs orchestrent des outils, manipulent des fichiers et appellent des API tierces, la surface d'attaque déplace son centre de gravité depuis l'application web traditionnelle vers le tandem sandbox + orchestrateur d'agent. Les défauts mis en lumière par Cyera — TOCTOU, désynchronisation validation/exécution, confiance excessive dans des flags côté client — ne sont pas nouveaux conceptuellement, mais leur réapparition dans un contexte agentique illustre la rapidité avec laquelle les patterns d'erreur de la décennie 2010 sont en train d'être reproduits par les frameworks IA construits dans la précipitation.

Pour les RSSI et architectes sécurité, l'enseignement opérationnel est triple. Premièrement, tout déploiement d'agent IA doit être traité comme une application multi-tenant à part entière, avec ségrégation des secrets, principe du moindre privilège pour les comptes système supportant les workers, et rotation systématique des bearer tokens. Deuxièmement, l'exposition publique d'un orchestrateur d'agents — y compris derrière une authentification — doit être justifiée explicitement, idéalement précédée d'un placement derrière un reverse proxy capable de filtrer les requêtes MCP. Troisièmement, la chaîne logicielle des plateformes d'agents IA mérite une attention de type supply chain : suivre OpenClaw, LangChain, AutoGen, CrewAI ou PraisonAI dans les advisories GitHub doit devenir une routine SOC.

Le contexte réglementaire renforce l'urgence. L'AI Act européen — dont les obligations pour les systèmes à haut risque entrent en vigueur le 2 août 2026 — impose une gestion documentée des risques de cybersécurité tout au long du cycle de vie des modèles déployés. Une vulnérabilité de niveau Claw Chain dans un outil orchestrant un système qualifié de haut risque pourrait engager la responsabilité de l'opérateur sur le fondement de l'article 15 du règlement. À cela s'ajoutent NIS2 et DORA pour les acteurs du secteur financier, qui imposent une notification rapide en cas d'incident significatif.

La proximité temporelle avec la divulgation récente de PraisonAI CVE-2026-44338 — exploitée 3h44 après sa publication, comme nous l'évoquions dans une news précédente — confirme que les chercheurs offensifs et les opérateurs cybercriminels ont identifié l'écosystème agentique comme cible prioritaire. Le délai entre divulgation et exploitation est en train de s'effondrer, et les équipes de réponse doivent intégrer ce paramètre dans leur planification de cycle de patch. Pour aller plus loin sur ce sujet, voir PraisonAI CVE-2026-44338 : exploité en 3h44 après la divulgation.

Ce qu'il faut retenir

• Mettre à jour immédiatement vers OpenClaw 2026.4.22 et auditer les bearer tokens MCP émis avant cette date.
• Considérer toute plateforme d'agents IA comme une application multi-tenant à privilèges étendus : ségrégation des secrets, comptes système non-root pour les workers, journalisation MCP intégrale.
• Intégrer la veille supply chain des frameworks d'agents IA (OpenClaw, LangChain, PraisonAI, AutoGen, CrewAI) dans les routines SOC quotidiennes.