Clawdbot s’est imposé en quelques jours comme le nouveau jouet à la mode de l’écosystème IA : un agent personnel capable de lire vos messages et, plus généralement, d’organiser votre vie numérique de manière proactive, 24 heures sur 24. Mais dans l’enthousiasme général, un point crucial est relégué au second plan par un bon nombre d’utilisateurs : la cybersécurité.

Il est présenté par certains comme « Siri, si ça marchait vraiment ».

Clawdbot est le dernier phénomène qui s’est emparé de l’écosystème des férus de tech partout à travers le monde. Cet outil open source serait la réponse à une promesse très attendue depuis de nombreuses années : celle de pouvoir enfin disposer d’un assistant virtuel proactif, qui sait nous conseiller, résumer nos tâches et nos accomplissements, automatiser certaines actions en ligne et même suggérer des modifications à notre planning si le contexte n’est plus propice.

Pour y parvenir, Clawdbot nécessite évidemment qu’on lui donne accès à des outils très sensibles : navigateur, fichiers locaux, messageries privées, parfois même objets connectés.

Mais voilà, l’outil en est encore à sa phase de développement et son installation demande quelques rudiments techniques et dans l’enthousiasme général, de nombreux utilisateurs ont visiblement configuré leur nouvel assistant dans la précipitation.

Bitdefender logo black
Bitdefender new Box
Votre vie privée doit rester privée.
Face aux cyberattaques, déjouez les pronostics. Les nouvelles arnaques sont plus complexes et plus sophistiquées, alors ne devenez pas une victime de plus, il existe des solutions performantes et accessibles.
Je protège ma vie privée simplement

Sur X, les signaux d’alarme se multiplient : des internautes ont repéré des centaines de passerelles Clawdbot directement exposées sur Internet, sans aucune authentification. « Un désastre se profile à l’horizon », prédisent certains en cette fin janvier 2026.

Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Twitter.
Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par Twitter avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)

En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et .

Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.

Clawdbot est conçu pour être auto‑hébergé

Le problème principal vient de la façon dont l’outil est hébergé. Contrairement aux chatbots proposés par de grandes plateformes, Clawdbot est conçu pour être auto‑hébergé.

L’utilisateur a donc deux options pour le faire tourner : sur sa propre machine ou sur un VPS (un serveur privé virtuel), autrement dit une machine virtuelle hébergée chez un fournisseur, avec ses propres ressources mais aussi sa propre administration système.

Et c’est précisément sur ce point que de nombreux utilisateurs semblent avoir totalement fait l’impasse sur la sécurité. Luis Catacora, qui s’occupe des relations entre Cloudflare et les développeurs, a recensé plus de 900 infrastructures complètement exposées : « Ça donne accès au shell, à l’automatisation du navigateur et à vos clés API », prévenait‑il sur X le 25 janvier, en pointant le port 18789, utilisé par défaut par la passerelle de Clawdbot, qui ne doit jamais être exposé publiquement.

Compromission d’un outil à tout faire

Si ces risques de mauvaise gestion existent pour n’importe quel outil hébergé sur un VPS, ils prennent une tout autre dimension lorsqu’il s’agit de Clawdbot.

Dans les cas signalés par les experts, il suffit de se connecter à une adresse IP pour interagir avec l’agent. Or, derrière ces instances mal configurées se trouve, on le rappelle, un outil qui peut potentiellement accéder à des e‑mails, des documents de travail, des comptes de messagerie, etc.

Un attaquant qui prend le contrôle d’un Clawdbot mal protégé peut ainsi lire, mais aussi agir : envoyer des messages en votre nom, lancer des scripts, modifier des fichiers, installer d’autres logiciels ou encore utiliser la machine compromise comme point d’appui pour attaquer d’autres services. Là où une compromission classique demande souvent plusieurs étapes, Clawdbot concentre au même endroit les accès, l’automatisation et la persistance, trois facteurs essentiels à une cyberattaque.

Les utilisateurs de Clawdbot sont appelés à la vigilance : « Si vous faites tourner Clawdbot, vérifiez votre config », alerte le chercheur en cybersécurité @0xSammy. Il distille quelques conseils pour ne pas exposer publiquement sa passerelle : « bind: « all » veut dire que vous êtes sur la liste (d’instances exposées). Pour corriger : remplacez par bind: « loopback » et redémarrez. Ça prend 10 secondes. »

une comparateur meilleur vpn numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !