OpenClaw : l’outil miracle qui ne l’est pas

Un outil d’IA capable de prendre le contrôle de ton ordinateur. Gratuit, open source, créé par un développeur solo. Trop beau pour être vrai ? Anthropic vient de trancher. Si tu utilises OpenClaw avec les tokens de ton compte Claude Pro, tu risques le bannissement. Bienvenue dans l’ère où l’intelligence artificielle devient trop autonome. Même pour ceux qui la vendent.

OpenClaw : l’agent IA qui fait trembler la Silicon Valley

OpenClaw est un outil d’IA agentique créé par Peter Steinberger, développeur autrichien connu pour PSPDFKit. Son principe ? Un assistant personnel autonome qui tourne sur ta machine et s’intègre à tes applications de messagerie (WhatsApp, Telegram, Signal, Discord) pour accomplir des tâches complexes : gérer tes emails, organiser ton calendrier, faire de la recherche web, du shopping en ligne. Le tout avec une supervision minimale de ta part.

Le projet a connu trois noms en trois mois : d’abord Clawdbot (lancé en novembre 2025), puis Moltbot après qu’Anthropic a exigé un changement pour éviter la confusion avec Claude, et enfin OpenClaw début 2026 — nom choisi par Steinberger lui-même. En deux mois, le dépôt GitHub a dépassé les 100 000 étoiles, et début février, les utilisateurs avaient créé 1,5 million d’agents via la plateforme, selon une interview de Steinberger avec le podcasteur Lex Fridman. Le projet dépasse aujourd’hui les 180 000 stars GitHub, ce qui en fait l’un des dépôts à la croissance la plus rapide de l’histoire de la plateforme.

Selon WIRED, l’outil a explosé en popularité en janvier 2026 lorsque d’autres développeurs ont commencé à y contribuer et à partager leurs expériences sur les réseaux sociaux. Au point que Steinberger a rejoint OpenAI le 15 février 2026 en tant qu’employé. Sam Altman l’a qualifié de « genius with a lot of amazing ideas about the future of very smart agents ». OpenClaw reste un projet open source indépendant sous licence MIT, hébergé dans une fondation qu’OpenAI s’engage à soutenir. Steinberger lui-même a déclaré vouloir « build an agent that even my mum can use ».

Mais voilà le problème : OpenClaw nécessite des connaissances de base en ingénierie logicielle pour être configuré. Une fois lancé, il interagit de manière autonome avec les applications de ton système. Et ça, pour les responsables sécurité des entreprises tech, c’est un cauchemar éveillé — d’autant plus que des failles de sécurité critiques ont été découvertes dans l’outil.

Meta, Anthropic et les autres : panique à bord

Jason Grad, cofondateur et CEO de Massive (une entreprise de proxy internet servant des millions d’utilisateurs), a envoyé un message Slack tard dans la nuit du 26 janvier à ses 20 employés : « You’ve likely seen Clawdbot trending on X/LinkedIn. While cool, it is currently unvetted and high-risk for our environment. Please keep Clawdbot off all company hardware and away from work-linked accounts. »

L’avertissement a été envoyé avant même qu’un seul employé n’ait installé l’outil, selon WIRED. Sa politique : « mitigate first, investigate second ».

Chez Meta, c’est encore plus radical. Un cadre (qui a requis l’anonymat pour parler franchement) a prévenu son équipe : utilisez OpenClaw sur vos laptops de travail et vous risquez de perdre votre emploi.
Sa crainte ? Que le logiciel soit « imprévisible » et puisse causer une violation de la vie privée dans des environnements normalement sécurisés.
Détail piquant : Mark Zuckerberg avait lui-même expérimenté OpenClaw et tenté de recruter Steinberger avant qu’OpenAI ne le fasse.

Chez Valere (éditeur de logiciels pour des institutions comme Johns Hopkins University), le CEO Guy Pistone a d’abord interdit l’outil le 29 janvier, puis a autorisé son équipe de recherche à le tester sur un vieil ordinateur isolé du réseau.
Leur conclusion, partagée dans un rapport à WIRED : les utilisateurs doivent « accepter que le bot peut être trompé ».

Par exemple, un email malveillant pourrait instruire l’IA de partager des fichiers de l’ordinateur. Pistone a donné 60 jours à son équipe pour trouver des solutions de sécurisation.

Anthropic a choisi le verrouillage contractuel. Depuis la semaine du 19 février 2026, selon Frandroid, l’utilisation de tokens OAuth personnels (ceux de ton compte Claude Free, Pro ou Max) dans des outils tiers comme OpenClaw est formellement interdite.
La documentation « Legal and compliance » est explicite : ces tokens sont « réservés exclusivement à Claude Code et Claude.ai ». La sanction ? La suspension de ton compte, sans préavis.

En réalité, le blocage a commencé bien avant. Dès le 9 janvier 2026, Anthropic a déployé des protections côté serveur bloquant les tokens OAuth d’abonnement utilisés en dehors du CLI officiel Claude Code.
Thariq Shihipar d’Anthropic a confirmé sur X que les « safeguards against spoofing the Claude Code harness » avaient été renforcés. OpenCode (plus de 107 000 stars GitHub), le concurrent le plus populaire de Claude Code, a été le premier touché. Cline, RooCode et d’autres extensions IDE qui utilisaient les identifiants Claude ont également cessé de fonctionner.

Précision importante : l’interdiction concerne les tokens OAuth d’abonnement dans les outils tiers. L’utilisation d’OpenClaw avec une clé API payante (via la Claude Console) reste parfaitement autorisée. Ce n’est pas OpenClaw qui est banni en soi — c’est l’utilisation de ton abonnement flat pour alimenter des outils externes.

Le vrai problème : l’argent ET la sécurité

Anthropic invoque la sécurité et la « gestion de charge » sur ses serveurs. Mais creusons un peu les deux facettes.

Le nerf de la guerre financier. Un abonnement Claude Max coûte jusqu’à 200 $ par mois pour un usage à haute limite. Avec cet abonnement, un développeur malin pouvait alimenter OpenClaw et faire tourner des agents IA gourmands en ressources. En passant par l’API officielle d’Anthropic, cette même consommation pourrait coûter des centaines, voire des milliers de dollars, note Frandroid.

Les frameworks d’agents IA sont « par nature très bavards et gourmands en tokens ». Un agent actif tournant sur Claude Opus peut brûler des millions de tokens par jour — le genre de consommation qui rend un abonnement flat profondément non rentable pour Anthropic.

Le phénomène a explosé quand la technique dite du « Ralph Wiggum » est devenue virale fin 2025 : des développeurs piégeaient Claude dans des boucles autonomes d’auto-correction qui tournaient toute la nuit, réinjectant les erreurs dans la fenêtre de contexte jusqu’à ce que les tests passent.

Anthropic a même livré un plugin officiel « Ralph Wiggum » pour Claude Code — parce que dans leur propre outil, ils contrôlent les limites. Le problème, c’étaient les outils tiers qui faisaient tourner les mêmes boucles sans garde-fous.

Mais la sécurité n’est pas un prétexte non plus. Les failles d’OpenClaw sont réelles et documentées. La vulnérabilité CVE-2026-25253 (score CVSS 8.8 — critique) permet l’exécution de code à distance et le vol de tokens d’authentification via des liens malveillants. Des chercheurs en sécurité estiment que des dizaines de milliers d’instances OpenClaw sont exposées sur Internet public sans authentification.

Jusqu’au patch v2026.1.29 du 29 janvier, le mode auth: none était la configuration par défaut — n’importe qui trouvant ton instance pouvait la contrôler. VirusTotal et OpenSourceMalware ont découvert plus de 300 extensions malveillantes (trojans, keyloggers, backdoors) déguisées en outils d’optimisation sur la plateforme OpenClaw.

Anthropic suit le même chemin qu’OpenAI : verrouiller les accès, interdire les clients alternatifs qui contournent les limites d’usage, et pousser tout le monde vers la boutique officielle. Même leur propre Agent SDK recommande désormais l’usage strict des clés API payantes.
Pour les utilisateurs d’OpenCode, il faut désormais migrer vers des clés API payantes via la Claude Console. L’abonnement flat devient un compteur au token.

Mais réduire l’affaire à une simple question d’argent serait malhonnête. Les deux motivations — financière et sécuritaire — coexistent, et les preuves soutiennent les deux.

OpenClaw : l’outil miracle qui ne l’est pas

Soyons clairs : si Anthropic mérite des critiques pour son verrouillage économique déguisé en souci sécuritaire, OpenClaw n’est pas le héros de cette histoire. On parle d’un outil qui a tourné pendant des semaines avec auth: none comme configuration par défaut.

Littéralement n’importe qui trouvant ton instance sur Internet pouvait la contrôler. La vulnérabilité CVE-2026-25253 (score CVSS 8.8, critique) permet l’exécution de code à distance et le vol de tes tokens d’authentification via un simple lien malveillant. Des dizaines de milliers d’instances étaient exposées publiquement.

VirusTotal a découvert plus de 300 extensions vérolées. Trojans, keyloggers, backdoors, planquées sur la plateforme sans aucun contrôle. Et la firme de cybersécurité Wiz a révélé que le réseau social Moltbook, la vitrine « IA » d’OpenClaw, était en grande partie constitué d’humains exploitant des bots, pas d’agents intelligents.

Le créateur lui-même, Peter Steinberger, a admis sur le podcast de Lex Fridman que le projet lui coûtait entre 10 000 et 20 000 $ par mois en serveurs. Sa solution ? Rejoindre OpenAI plutôt que de corriger l’architecture.
Le projet change de nom trois fois en trois mois (Clawdbot → Moltbot → OpenClaw), accumule les failles, et sa réponse à chaque scandale sécuritaire c’est un patch dans l’urgence suivi d’un partenariat annoncé en fanfare. C’est du développement par hype, pas de l’ingénierie.

Comme on l’écrivait déjà dans notre article précédent sur OpenClaw, donner un accès root à ton système à un outil dont la politique de sécurité repose sur la bonne volonté de contributeurs anonymes sur GitHub, c’est l’équivalent numérique de laisser ta porte d’entrée ouverte avec un mot « faites comme chez vous ». L’open source n’est pas un gage de sécurité quand personne n’audite le code avant qu’il explose.

L’autonomie des IA : marketing vs réalité

Cette affaire OpenClaw révèle un décalage fascinant entre le discours marketing sur l’IA « autonome » et la réalité technique. Les entreprises vendent de l’autonomie… tout en paniquant dès qu’un outil devient réellement autonome.

Et le décalage ne se limite pas au logiciel. Comme le rappelle Korben dans son article sur Waymo, les « robotaxis autonomes » de San Francisco ne sont pas si autonomes que ça. Quand ils bloquent sur une situation (carrefour bizarre, chantier), ils envoient une demande d’aide à des opérateurs humains basés aux Philippines.

Le chef de la sécurité de Waymo, Mauricio Peña, a confirmé lors d’une audience au Congrès américain le 4 février : ces opérateurs « fournissent des indications » mais « ne conduisent pas le véhicule à distance ».
De la téléassistance, pas du téléguidage. Le sénateur Ed Markey n’est pas convaincu : avoir des gens à l’étranger qui influencent des milliers de véhicules sur les routes américaines, c’est un « sacré problème de cybersécurité ».

On nous vend de l’« autonome », du « sans conducteur », de la voiture du futur pilotée par l’IA… alors qu’en fait il y a un call center aux Philippines qui veille au grain. Et dans le cas d’OpenClaw, on nous vend des agents IA « illimités » pour 20 $ par mois… jusqu’au jour où la facture réelle rattrape le marketing.

Que retenir de cette affaire ?

Les points clés :

• OpenClaw est un outil puissant : IA agentique capable de contrôler ton ordinateur, créé par un développeur solo autrichien, 180 000+ stars GitHub, 1,5 million d’agents créés. Steinberger a rejoint OpenAI, le projet reste open source dans une fondation indépendante
• Les géants tech paniquent : Meta menace de licenciement, Anthropic bloque les tokens OAuth, les startups interdisent l’outil sur le matériel pro
• Le motif est double — financier et sécuritaire : Anthropic veut forcer la migration vers son API payante au token, mais les failles de sécurité d’OpenClaw sont réelles (CVE-2026-25253, instances exposées, extensions malveillantes)
• L’autonomie reste du marketing : les IA « autonomes » ont encore besoin de supervision humaine constante — que ce soit OpenClaw qui nécessite des compétences techniques, ou Waymo qui dépend d’opérateurs aux Philippines
• L’open source résiste : OpenClaw fonctionne avec n’importe quel LLM (DeepSeek, Kimi K2.5, GPT). Des développeurs ont déjà reconstruit leurs setups pour 15 $/mois en contournant Anthropic

Cette affaire pose une question fondamentale : quand les créateurs d’IA verrouillent l’accès à leurs propres modèles, l’open source et les alternatives décentralisées deviennent les seuls garants de l’autonomie réelle des utilisateurs. Le vrai contrôle, c’est celui que tu gardes sur tes outils.

Sources principales : WIRED (via Ars Technica), Frandroid, TechCrunch, Fortune, WinBuzzer, OpenClaw.rocks, Korben