Depuis trois semaines, un dirigeant sur quatre me parle d'OpenClaw. « C'est open source, c'est autonome, on pilote depuis WhatsApp, on l'installe lundi ? »
Je ne vais pas vous dire « surtout pas ». Le produit est réel, il est brillant techniquement, et sur la bonne machine avec le bon périmètre il rend de vrais services. Mais l'installer sur un poste pro sans filet, c'est prendre un risque que 90 % des PME ne savent pas évaluer.
Voici comment je raisonne quand un client me pose la question — ni évangélisation, ni diabolisation.
Ce qu'OpenClaw fait bien (et pourquoi les gens s'excitent)
OpenClaw est un framework open source (licence MIT) d'agent IA autonome qui tourne localement, se connecte à n'importe quel LLM (Claude, GPT, Gemini, Ollama pour l'auto-hébergement), et s'interface avec vos messageries (WhatsApp, Slack, Telegram, iMessage). Vous lui parlez comme à un collègue, il exécute sur votre machine.
Concrètement : « trie mes mails non lus, réponds aux évidents, classe les autres », « sors-moi un résumé des 5 contrats dans ~/Documents/legal/ », « déploie la dernière version sur staging ». Et il le fait. Sans intervention manuelle à chaque étape.
Pour un dev solo, un freelance curieux, un usage R&D, c'est effectivement très puissant. Je l'utilise moi-même en sandbox. Le produit n'est pas mauvais — c'est son positionnement d'usage qui mérite qu'on réfléchisse.
Les 4 risques qui doivent peser dans la décision
Ce sont des faits documentés publiquement, pas des opinions.
| Risque | Ce qui est documenté | Source |
|---|---|---|
| RCE en un clic | CVE-2026-25253 : un lien malveillant pouvait prendre le contrôle d'une instance via cross-site WebSocket hijacking. Patché en 2026.1.29. | Avis de sécurité officiel |
| Marketplace toxique | Audit Koi Security : 341 skills malveillants sur 2 857 (12 %) sur ClawHub, dont 335 de la campagne « ClawHavoc » qui déploie des infostealers. | Rapport Koi Security, mars 2026 |
| Fuites de credentials | Cas documentés de clés API extraites en clair via prompt injection sur des configurations par défaut. | Cisco Blogs, Reco.ai |
| Périmètre système | L'agent peut lire/écrire des fichiers, exécuter du shell, lancer des scripts. La documentation elle-même indique : « il n'existe pas de configuration parfaitement sécurisée ». | Documentation OpenClaw |
Le fond du problème : le modèle de sécurité d'OpenClaw repose sur des instructions dans le prompt (« n'accède pas aux fichiers sensibles »), pas sur des frontières architecturales. Or un prompt injection contourne un prompt instructions. Ce n'est pas un bug, c'est un choix de conception qui privilégie la flexibilité sur l'isolation.
Grille — quand c'est OK, quand c'est non
Profil 1 — Dev solo, freelance curieux, usage R&D
Verdict : OK. Vous savez ce que vous faites, la machine est à vous, les données sur votre poste sont perso ou dé-risquées. Le risque, c'est vous qui le portez.
Profil 2 — Équipe technique dans une PME (5-50 personnes)
Verdict : oui, mais cadré. Pas sur un poste qui a accès à des données clients. Pas avec vos identifiants pros. Une VM ou un conteneur isolé. Voir la checklist plus bas.
Profil 3 — Collaborateur non-technique, sur poste pro standard
Verdict : non, pas en l'état. Pour cette personne, OpenClaw installe des capacités qui dépassent très largement ses capacités à les encadrer. Un agent qui peut lire vos mails et exécuter du shell, sur un poste qui a accès à votre CRM, votre compta, vos contrats, est un vecteur d'incident à court terme.
Si vous voulez vraiment l'utiliser en pro — la checklist stricte
Si malgré tout vous décidez de l'installer dans un contexte professionnel, voici les conditions minimales que je considère comme non-négociables :
1. Machine dédiée ou VM isolée. Pas sur le poste principal du collaborateur. Une VM, un conteneur, un container-use. La compromission doit être contenue.
2. Pas de credentials sensibles sur la machine. Pas de session CRM active, pas de clés API prod, pas de fichiers .env de production. Si ça fuit, ça ne doit pas faire mal.
3. Skills manuellement whitelistés. Ne pas brancher ClawHub ouvert. Lire le code de chaque skill avant installation. Si vous ne pouvez pas lire le code, n'installez pas.
4. LLM auto-hébergé ou via fournisseur de confiance. Ollama local pour les cas sensibles, ou Bedrock/Azure Europe pour du managed. Pas l'API grand public avec le compte perso du dirigeant.
5. Version à jour, strictement. CVE-2026-25253 a été patché — mais il y en aura d'autres. Un agent autonome vulnérable est une bombe à retardement.
6. Monitoring et logs. Vous devez pouvoir reconstituer ce que l'agent a fait. Sans traçabilité, pas de remédiation en cas d'incident.
Ces 6 conditions réunies, OpenClaw peut trouver sa place en entreprise. Sans une seule des 6, non.
Ce que je préfère pour un usage métier
Pour 80 % des cas où un dirigeant me parle d'OpenClaw, ce qu'il veut vraiment n'est pas « un agent qui fait tout ». C'est un agent qui fait une chose précise, bien, sans risque. Tri de mails. Extraction de contrats. Qualification de leads. Chacune de ces choses se construit avec un agent sur mesure : périmètre étroit, permissions explicites, pas d'accès shell, pas de messagerie grand public comme interface, monitoring natif.
C'est moins sexy qu'un agent qu'on pilote depuis WhatsApp. C'est beaucoup plus robuste en production. Et ça se rembourse vite — voir la méthode de calcul du ROI.
Ce qui rate systématiquement
1. L'installer « pour voir » sur le poste principal. La plupart des premières installations que je vois sont faites sur la machine pro de la personne curieuse — celle qui a toutes les sessions actives. C'est exactement le scénario que les skills ClawHavoc ciblent.
2. Ouvrir ClawHub et installer 3-4 skills populaires. 12 % de skills malveillants sur le marketplace, c'est plus qu'un poste statistique — c'est une quasi-certitude d'en croiser si vous piochez sans audit.
3. Le confondre avec un agent managé. OpenClaw n'est pas Claude Code, n'est pas un SaaS, n'est pas un produit cloud. C'est un framework que vous auto-hébergez. La sécurité, c'est vous. Si personne dans la boîte ne peut auditer un skill, le risque n'est pas réparti — il est juste invisible.
Par où commencer
Si vous avez un cas d'usage précis en tête et que vous hésitez entre OpenClaw et une solution cadrée, 30 minutes suffisent. Je regarde votre contexte, je vous dis honnêtement si OpenClaw peut convenir chez vous — avec quelle configuration — ou si un agent sur mesure sera plus simple, moins risqué, et souvent moins cher sur le coût total de possession.
Si le sujet IA en général vous met à l'aise mais que la sécurité vous inquiète, la checklist sécurité IA couvre les points que je vérifie sur chaque mission — OpenClaw ou pas.
Pour aller plus loin
- Service concerné : Agents IA sur mesure
- Articles connexes : Sécurité des données IA en PME · AI Act : ce que les PME doivent faire avant août 2026
