Les auteurs de l'article Transformer recréent la langouste, adieu la vulnérabilité OpenClaw en mode nu

Transmis de | Quantum Journal

Combien de homards courent nus sur Internet ?

Les IA intelligentes exposent vos mots de passe et clés API à tout le réseau.

Illia Polosukhin, l’auteur de Transformer, n’a pas pu rester indifférent. Il a reconstruit à partir de zéro une version sécurisée du homard : IronClaw.

IronClaw est désormais open source sur GitHub, avec des packages d’installation pour macOS, Linux et Windows, supportant le déploiement local ainsi que l’hébergement via le cloud. Le projet est en phase de développement rapide, la version binaire v0.15.0 est disponible en téléchargement.

Polosukhin (ci-après « Pêcheur de Ananas ») a également lancé un post sur Reddit pour répondre à toutes les questions, suscitant beaucoup d’attention.

01 OpenClaw a fait sensation, mais aussi « pris feu »

Pêcheur de Ananas a été parmi les premiers à utiliser OpenClaw, qu’il considère comme une technologie qu’il attendait depuis 20 ans.

Elle a changé ma façon d’interagir avec l’informatique.

Cependant, la sécurité d’OpenClaw est catastrophique : exécution de code à distance en un clic, injections de prompts, vol malveillant de mots de passe — ces vulnérabilités ont été révélées une à une dans l’écosystème OpenClaw.

Plus de 25 000 instances publiques exposées sans contrôles de sécurité adéquats, qualifiées par des experts de « feu de poubelle de sécurité » (security dumpster fire).

La racine du problème réside dans l’architecture elle-même.

Lorsque l’utilisateur confie son Bearer Token d’email à OpenClaw, il est directement envoyé aux serveurs du fournisseur de LLM.

Pêcheur de Ananas a expliqué sur Reddit ce que cela implique :

Toutes vos informations, y compris celles pour lesquelles vous n’avez pas explicitement donné d’autorisation, peuvent être accessibles par n’importe quel employé de cette société. Cela vaut aussi pour les données de votre employeur. Ce n’est pas que ces entreprises soient malveillantes, mais en réalité, les utilisateurs n’ont pas de véritable vie privée.

Il affirme que, même avec plus de commodités, il ne vaut pas la peine de risquer la sécurité et la vie privée de lui-même et de sa famille.

02 Reconstruire tout en Rust à partir de zéro

IronClaw est une réécriture complète de OpenClaw en Rust.

La sécurité mémoire de Rust élimine fondamentalement les vulnérabilités classiques comme les débordements de tampon, ce qui est crucial pour les systèmes manipulant des clés privées et des identifiants utilisateur.

Sur le plan de la sécurité, IronClaw adopte une défense en profondeur à quatre niveaux :

• Premier niveau : la garantie de sécurité mémoire fournie par Rust lui-même.

• Deuxième niveau : isolation via le sandbox WASM, où tous les outils tiers et codes générés par IA s’exécutent dans des conteneurs WebAssembly séparés. Même si un outil est malveillant, ses dégâts sont strictement limités au sandbox.

• Troisième niveau : coffre-fort cryptographique pour les identifiants, où toutes les clés API et mots de passe sont stockés chiffrés avec AES-256-GCM, chaque identifiant étant lié à une règle de stratégie précisant son usage dans un domaine spécifique.

• Quatrième niveau : environnement d’exécution fiable (TEE), utilisant une isolation matérielle pour protéger les données, même contre le fournisseur de cloud.

L’aspect clé de cette conception est que le modèle de grande taille ne touche jamais directement aux identifiants bruts.

Ce n’est que lorsque l’agent doit communiquer avec un service externe que les identifiants sont injectés au niveau du réseau.

Pêcheur de Ananas donne un exemple : même si le modèle est victime d’une injection de prompt visant à envoyer le jeton OAuth Google de l’utilisateur à un attaquant, la couche de stockage des identifiants refuse la requête, enregistre un log et alerte l’utilisateur.

Cependant, la communauté de développeurs reste méfiante : plus de 2000 instances publiques ont été attaquées, et de nombreux outils malveillants existent. Si IronClaw devient populaire, ne risque-t-elle pas de répéter le même scénario ?

La réponse de Pêcheur de Ananas est que l’architecture d’IronClaw a fondamentalement bouché les vulnérabilités principales d’OpenClaw. Les identifiants sont toujours stockés chiffrés, sans jamais toucher le LLM. Les compétences tierces ne peuvent pas exécuter de scripts sur la machine hôte, seulement dans des conteneurs.

Même via CLI, il faut utiliser la clé système de l’utilisateur pour déchiffrer, rendant la clé cryptée elle-même sans valeur.

Il indique aussi qu’avec la stabilisation de la version principale, l’équipe prévoit des tests de red team et des audits de sécurité professionnels.

Concernant le problème reconnu de tous qu’est l’injection de prompt, Pêcheur de Ananas propose une approche plus détaillée.

Actuellement, IronClaw utilise des règles heuristiques pour détecter les modèles, mais l’objectif futur est de déployer un petit classificateur linguistique en mise à jour continue pour repérer ces injections.

Il admet aussi que l’injection de prompt peut non seulement voler des identifiants, mais aussi modifier directement le code de l’utilisateur ou envoyer des messages malveillants via des outils de communication.

Pour contrer ces attaques, il faut une stratégie plus intelligente, capable d’analyser l’intention de l’agent sans examiner le contenu d’entrée — « il reste encore du travail, la communauté est invitée à contribuer ».

Une question sur le déploiement local versus cloud.

Pêcheur de Ananas pense que le déploiement purement local a ses limites : l’agent s’arrête quand l’appareil est éteint, la consommation d’énergie sur mobile est difficile à supporter, et les tâches longues sont compliquées.

Il considère que le cloud confidentiel (confidential cloud) est la meilleure solution intermédiaire, offrant une confidentialité proche du local tout en résolvant le problème de « toujours en ligne ».

Il mentionne aussi un détail : les utilisateurs peuvent définir des stratégies, par exemple ajouter des barrières de sécurité supplémentaires lors de voyages transfrontaliers pour empêcher tout accès non autorisé.

03 Une ambition plus grande

Pêcheur de Ananas n’est pas un simple développeur open source.

En 2017, il a co-signé « Attention Is All You Need », dont l’architecture Transformer a posé les bases de tous les grands modèles linguistiques actuels.

Bien qu’il soit en dernière position dans la liste des auteurs, une note indique : « Contribution égale. L’ordre est aléatoire. »

La même année, il quitte Google pour fonder NEAR Protocol, avec pour objectif d’intégrer IA et blockchain.

IronClaw s’inscrit dans une vision plus large de NEAR : l’IA détenue par l’utilisateur (User-Owned AI).

Dans cette vision, l’utilisateur contrôle totalement ses données et ses actifs, et l’agent IA agit dans un environnement fiable pour exécuter des tâches pour lui.

NEAR a déjà construit une plateforme cloud IA et un marché décentralisé de GPU, et IronClaw en constitue la couche d’exécution.

Pêcheur de Ananas a même développé un marché où des agents peuvent s’embaucher mutuellement.

Sur le site market.near.ai, les utilisateurs peuvent enregistrer leurs agents spécialisés, qui, en gagnant en réputation, recevront des tâches à haute valeur.

Questionné sur comment les gens ordinaires peuvent s’adapter à l’ère de l’IA dans cinq ans, il conseille d’adopter rapidement le mode de travail avec des agents IA, en automatisant l’ensemble de leurs processus.

Ce n’est pas une idée récente : dès 2017, lors de la création de NEAR AI, il expliquait que « dans le futur, vous n’aurez plus qu’à dialoguer avec l’ordinateur, plus besoin d’écrire du code ».

À l’époque, beaucoup pensaient qu’il délirait, qu’il racontait n’importe quoi.

Neuf ans plus tard, cela devient réalité.

« L’agent IA est l’interface ultime pour toutes nos interactions en ligne, » écrit Polosukhin, « mais faisons-le en toute sécurité. »