Ceci est une traduction automatique du document original en anglais. En cas de divergence entre cette traduction et la version originale anglaise, la version anglaise fera foi. Consulter la version originale en anglais

---

Benioff sur OpenClaw : ce qui manque, c'est la confiance, la sécurité, la fiabilité et la disponibilité.

2026-04-12 · Caiioo Team

Le PDG de Salesforce, Marc Benioff, a acheté une machine dédiée uniquement pour tester OpenClaw — l'agent IA open-source qu'OpenAI aurait acquis pour 1 à 5 milliards de dollars. Son verdict ? On ne peut pas lui faire confiance.

« OpenClaw est formidable. Mais il n'est pas à la hauteur des exigences des entreprises », a déclaré Benioff. « Ce qui manque, c'est la confiance, la sécurité, la fiabilité et la disponibilité. »

Les recherches en sécurité qui ont suivi lui ont donné raison — et les problèmes sont plus profonds que ce que la plupart des gens réalisent.

Les vulnérabilités ne sont pas théoriques

Depuis qu'OpenClaw est devenu viral, les chercheurs en sécurité ont répertorié une série frappante d'exploitations réelles :

• CVE-2026-25253 (CVSS 8.8) : Une vulnérabilité d'exécution de code à distance en un clic via les connexions WebSocket non validées de l'interface de contrôle. Deux failles d'injection de commandes supplémentaires ont été divulguées le même jour.
• ClawJacked (Oasis Security) : N'importe quel site web peut discrètement prendre le contrôle total d'un agent OpenClaw via JavaScript — le limiteur de débit exempte le localhost, permettant le forçage de mots de passe par force brute.
• Plus de 42 900 instances exposées trouvées par l'équipe STRIKE de SecurityScorecard, dont 15 200 vulnérables à l'exécution de code à distance. Bitsight a confirmé indépendamment plus de 30 000 instances exposées lors d'un scan de deux semaines.
• 1 184 compétences malveillantes sur ClawHub — soit 12 % de l'ensemble du registre des compétences. 335 ont installé Atomic Stealer (AMOS), un logiciel malveillant macOS qui a dérobé des clés API, des portefeuilles de crypto-monnaies, des identifiants SSH et des mots de passe de navigateurs.
• 7,1 % des compétences ClawHub exposent des identifiants en texte clair via la fenêtre de contexte du LLM, selon un audit de Snyk. Aucune isolation des identifiants entre les compétences — une compétence peut lire les secrets définis par une autre.

Cisco, Microsoft et CrowdStrike ont tous publié des avis de sécurité. Le blog de sécurité de Microsoft a noté que les agents OpenClaw « s'exécutent par défaut avec les privilèges de l'utilisateur hôte sans bac à sable (sandboxing) rigoureux ».

La cause profonde architecturale

Les problèmes de sécurité d'OpenClaw ne sont pas des bugs à corriger — ce sont les conséquences de son architecture :

La passerelle (Gateway) se lie à toutes les interfaces réseau par défaut (0.0.0.0:18789), exposant l'agent à l'ensemble du réseau local. Cette seule décision de conception a causé l'exposition massive documentée par SecurityScorecard et Bitsight.

Toutes les données transitent par un processus de passerelle centralisé qui gère la messagerie, l'authentification, la gestion des sessions et la répartition. Compromettez la passerelle et vous héritez de chaque identifiant, chaque conversation, chaque service connecté — e-mails, API cloud, plateformes de messagerie, systèmes internes.

Aucune approbation de l'utilisateur pour les actions de l'agent. OpenClaw exécute des commandes shell, lit et écrit des fichiers, et lance des scripts dans le cadre de sa conception de base. Des compétences malveillantes ont utilisé l'injection de requêtes (prompt injection) pour contourner les contrôles de sécurité et exécuter des commandes silencieusement.

Aucune isolation des identifiants. Les clés API résident dans des variables d'environnement et dans .clawdbot/.env — accessibles à chaque compétence dans le contexte de l'agent. Une seule compétence malveillante peut exfiltrer chaque secret auquel l'agent a accès.

En quoi l'architecture de Caiioo est différente

Caiioo et OpenClaw sont tous deux local-first, tous deux BYOK, et tous deux agnostiques vis-à-vis des fournisseurs. La différence ne réside pas dans ce à quoi ils se connectent — mais dans la manière dont ils gèrent la confiance, la transparence et le contrôle de l'utilisateur.

Chaque écriture, envoi ou suppression nécessite une approbation explicite

Caiioo utilise un système d'approbation d'outils à trois niveaux pour tout outil capable d'écrire, de modifier, d'envoyer ou de supprimer des données (les outils en lecture seule tels que la recherche, la navigation et la synthèse s'exécutent sans interruption) :

• Approuver une fois — autorise une seule exécution, puis demande à nouveau
• Approuver pour la conversation — autorise uniquement au sein de ce fil de discussion, réinitialisé à la fin de la conversation
• Toujours approuver — permission globale permanente (affichée en rouge pour les outils à haut risque)

L'approbation est bloquante — l'agent attend votre réponse. Il n'y a pas d'option d'exécution automatique pour les outils ayant des effets secondaires. Les outils MCP externes sans métadonnées nécessitent par défaut une approbation (sécurité par défaut). Chaque outil possède un niveau de risque (faible/moyen/élevé) avec des avertissements par code couleur dans la boîte de dialogue d'approbation.

Transparence totale en temps réel

Chaque appel d'outil apparaît dans le panneau latéral avec son statut : en attente, en attente d'approbation, en cours d'exécution, réussi ou échoué. Vous voyez exactement ce que fait l'agent, quels arguments il transmet et quels résultats il a obtenus — en temps réel. Vous pouvez lire l'intention, développer les détails bruts et prendre une décision éclairée avant toute exécution.

Arrêt immédiat à tout moment

Caiioo vérifie les signaux d'interruption à plusieurs niveaux : entre les exécutions d'outils, pendant les attentes d'approbation et lors des opérations de longue durée. Appuyez sur stop et l'agent s'arrête, nettoie les approbations en attente et ferme toutes les sessions de navigation actives. Pas de processus orphelins, pas d'exécution incontrôlée.

Pas de passerelle centralisée

Caiioo n'a pas d'équivalent à la Gateway d'OpenClaw. Votre appareil communique directement avec le fournisseur d'AI que vous choisissez — Anthropic, Google, OpenRouter, Ollama, ou tout autre. Caiioo n'intercepte, ne relaie (proxy) ni ne stocke jamais vos appels API. Il n'y a pas de point de compromission unique qui hérite de tous vos identifiants.

Isolation des identifiants par conception

Les clés API sont stockées dans le stockage sécurisé du navigateur (ou le Keychain sur macOS/iOS) — et non dans des fichiers de configuration en texte clair. Les outils n'accèdent qu'aux identifiants dont ils ont besoin. Il n'y a pas de contexte global partagé où un outil pourrait lire les secrets d'un autre outil.

Essayer Caiioo

Si vous évaluez des agents IA pour un usage professionnel, la question n'est pas de savoir si un agent est puissant, mais si vous pouvez lui faire confiance. Caiioo vous offre les mêmes capacités d'IA avec des contrôles d'approbation, une transparence en temps réel et une architecture qui ne crée pas de point de défaillance unique.

Commencer gratuitement — disponible en tant qu'extension de navigateur, application native macOS et application de bureau pour Windows et Linux.

---

Sources :

• Times of India : Le PDG de Salesforce, Marc Benioff, sur OpenClaw
• Finexus : Salesforce remet en question la préparation des entreprises pour OpenClaw
• Clawdbytes : Le PDG de Salesforce qualifie OpenClaw de peu fiable