Qu'est-ce qu'OpenClaw ? Guide de l'assistant IA open source

La plupart des outils d'IA passent leur temps à répondre à des questions. OpenClaw a été conçu pour agir. Cet écart l'a propulsé devant Linux au classement historique des étoiles GitHub en quelques mois après son lancement.

Concrètement, c'est un runtime auto-hébergé qui connecte des modèles d'IA à votre terminal, vos fichiers, votre navigateur et vos messageries. Envoyez-lui un message WhatsApp et il peut chercher sur votre disque, exécuter un script shell, vérifier une page web et répondre dans le même fil. Un simple chatbot ne fait pas ça.

La promesse est plus lisse que la réalité. OpenClaw nécessite une configuration technique, son historique sécurité en 2026 comporte des incidents sérieux, et son registre public de compétences a subi une campagne coordonnée de malware. Autant de points à connaître avant de se lancer.

Qu'est-ce qu'OpenClaw ?

OpenClaw est gratuit, open source (licence MIT) et pensé pour tourner sur votre propre matériel. Il a été créé par l'Autrichien Peter Steinberger, connu pour PSPDFKit, et lancé en novembre 2025 sous le nom de Clawdbot. Anthropic a déposé une plainte pour marque sur le nom, puis il est devenu Moltbot le 27 janvier 2026, avant de devenir OpenClaw trois jours plus tard car, selon Steinberger, "Moltbot ne sonnait jamais vraiment bien". La mascotte homard, Molty, a survécu à tous les changements de nom.

OpenClaw relie les modèles aux outils locaux. Image par l'auteur.

Point qui déroute au début : OpenClaw n'est pas un modèle d'IA. Il se connecte à un fournisseur configuré séparément, cloud ou local ; le modèle fait le raisonnement et OpenClaw gère l'orchestration, la mémoire et l'exécution des outils.

Le cœur est un service Node.js appelé Gateway. Il tourne en arrière-plan sur le port 18789, achemine les messages entre vos apps de chat et le modèle, exécute les appels d'outils et conserve vos clés API pour que les apps connectées n'y accèdent jamais directement.

Tout cela le différencie largement d'un chatbot. OpenClaw peut lancer des commandes shell, lire et écrire des fichiers, piloter un navigateur, et exécuter des tâches planifiées en votre absence.

Pourquoi OpenClaw est devenu populaire

OpenClaw est passé de 9 000 étoiles GitHub le premier jour à plus de 195 000 en 66 jours, soit apparemment 18 fois plus vite que Kubernetes.

Les développeurs attendaient ça depuis un moment : un assistant qui exécute des tâches plutôt que de se limiter à répondre, tourne sur votre matériel et se connecte à des applications.

En avril 2026, le projet avait dépassé 346 000 étoiles. Steinberger a annoncé son arrivée chez OpenAI le 15 février 2026, et le projet a évolué vers une structure fondation soutenue par OpenAI. Il est resté sous licence MIT et détenu par la communauté, sans rachat au sens traditionnel.

Les avis sont partagés. Certains apprécient le concept. D'autres butent sur l'installation, la fiabilité et les coûts. L'automatisation complexe déçoit plus qu'elle ne délivre et les coûts de tokens surprennent. Par ailleurs, la configuration n'est pas faite pour débutants.

Comment fonctionne OpenClaw : la Gateway, les outils et la boucle d'agent

Tout passe par la Gateway, et ce point de contrôle unique distingue OpenClaw d'un simple wrapper de modèle.

Quand vous envoyez un message, la Gateway le récupère depuis le canal utilisé, y joint le contexte issu des fichiers mémoire de l'agent et des compétences chargées, puis transmet l'ensemble au modèle d'IA configuré. Si le modèle veut agir (exécuter une commande, visiter une page, lire un fichier), il renvoie cette intention à la Gateway. La Gateway exécute l'action sur l'hôte, ou dans un bac à sable si vous en avez configuré un, et retourne le résultat. Elle peut enchaîner plusieurs étapes avant de produire une réponse finale.

Le modèle ne parle jamais directement à votre système de fichiers ni à votre terminal.

Toutes les actions passent par la Gateway. Image par l'auteur.

Mémoire et planification

OpenClaw stocke la mémoire dans des fichiers Markdown en clair dans l'espace de travail de l'agent (~/.openclaw/workspace). Le fichier principal, MEMORY.md, conserve les faits et préférences durables chargés au début de chaque session. SOUL.md définit la personnalité et le ton. AGENTS.md stocke les règles de comportement. Comme le modèle lit tout cela au démarrage de session, vos modifications persistent entre les redémarrages.

La planification fonctionne sur deux voies. Les heartbeats sont des vérifications périodiques dans la session principale, toutes les 30 minutes par défaut pour la plupart des fournisseurs. Un HEARTBEAT.md checklist indique à l'agent quoi revoir à chaque passage. Les tâches cron s'exécutent à des heures précises dans des sessions isolées, ce qu'il faut quand le timing compte vraiment, comme un rapport quotidien. Les deux consomment des tokens à chaque exécution, donc (bon réflexe) les tâches ouvertes doivent avoir une condition d'arrêt claire.

Modèles et canaux pris en charge

OpenClaw n'est pas lié à un seul fournisseur de modèles. Il fonctionne avec Anthropic, OpenAI, Google, AWS Bedrock, et des serveurs locaux via Ollama ou LM Studio. Les modèles locaux doivent offrir au moins une fenêtre de contexte de 64 000 tokens, compte tenu de la quantité de contexte injectée au démarrage de session. Côté canaux, il prend en charge WhatsApp, Telegram, Discord, Slack, Google Chat, Signal, iMessage, Matrix, Microsoft Teams, et plus encore.

Cas d'usage d'OpenClaw : ce qu'il peut vraiment faire

Son utilité dépend de la précision de la tâche. Les demandes trop larges dérivent. Les tâches étroites, répétables, avec des entrées claires, fonctionnent mieux.

• Productivité personnelle : Le cas le plus fiable rapporté est un briefing matinal : une tâche planifiée par heartbeat qui récupère les derniers e-mails, événements d'agenda et actualités, puis envoie un digest sur votre téléphone.
• Workflows développeur : OpenClaw peut inspecter des dépôts, exécuter des scripts de build, vérifier des logs et gérer des pull requests via la CLI GitHub ou un serveur MCP. Utilisez des tokens limités au dépôt et avec date d'expiration. L'accès shell étendu est utile mais c'est aussi la source la plus probable d'une suppression accidentelle de fichiers ou d'une fuite d'identifiants depuis un fichier .env présent dans le périmètre.
• Automatisation web : L'agent peut parcourir des pages, extraire des données et interagir avec des interfaces via le Chrome DevTools Protocol. Ce qu'il ne sait pas faire, c'est distinguer une page légitime d'une page contenant des instructions malveillantes intégrées dans le HTML. Dès que vous donnez un navigateur à l'agent, le contenu externe devient une surface d'attaque. Je reviens sur un cas documenté précis dans la section sécurité.
• Gestion de fichiers et documents : Fonctionne bien quand la racine de l'espace de travail est un dossier dédié sans éléments sensibles. Le scénario d'échec est prévisible : donnez-lui accès à votre répertoire personnel, et il finira par lire quelque chose que vous ne souhaitiez pas partager.
• Automatisation planifiée : Fiable pour des tâches récurrentes et bien définies. Un cas documenté a atteint plusieurs milliers de dollars de coûts API en une seule journée à cause d'une tâche ouverte tournée sans limites de tokens. Fixez des limites avant de planifier.

Compétences OpenClaw et ClawHub : à savoir et à éviter

Les compétences permettent d'étendre OpenClaw au-delà de ses capacités intégrées. Elles sont aussi la voie par laquelle le projet a subi une véritable attaque de chaîne d'approvisionnement dans l'écosystème des agents open source.

Ce qu'est une compétence

Une compétence est un dossier contenant un fichier SKILL.md avec un frontmatter YAML et un corps en Markdown. Le frontmatter déclare le nom, la description, les binaires requis et les variables d'environnement. En dessous, le corps Markdown est du langage naturel : des instructions que l'agent suit lorsqu'il juge la compétence adaptée à la tâche en cours.

Un dossier optionnel references/ contient la doc API, et un dossier optionnel scripts/ des scripts auxiliaires. Comme les compétences sont du texte et non du code compilé, vous pouvez les lire avant d'exécuter quoi que ce soit.

Chaque compétence suit ce format en deux parties. Image par l'auteur.

Les compétences suivent le standard ouvert AgentSkills ; le format fonctionne donc aussi avec Claude Code, Cursor et outils similaires. En pratique, la plupart des compétences sur ClawHub sont écrites spécifiquement pour le modèle de gateway d'OpenClaw et reposent sur des accès outils que d'autres environnements n'exposent pas.

ClawHub, le registre public sur clawhub.ai, utilise la recherche sémantique vectorielle, ce qui permet de trouver des compétences avec des requêtes en langage naturel. La publication nécessite un compte GitHub âgé d'au moins une semaine. Le registre a dépassé 44 000 compétences début 2026.

Le registre de compétences de ClawHub, organisé par catégorie. Image par l'auteur.

L'attaque de chaîne d'approvisionnement ClawHavoc

Le 1er février 2026, Oren Yomtov, chercheur chez Koi Security, a audité les 2 857 compétences de ClawHub et en a trouvé 341 malveillantes, dont 335 issues d'une campagne coordonnée appelée ClawHavoc. Elle reposait sur l'ingénierie sociale : une fausse section "Prerequisites" demandait aux utilisateurs de coller des commandes shell. Sur macOS, la charge utile était Atomic macOS Stealer, qui aspire mots de passe de navigateur, entrées du trousseau, portefeuilles crypto, clés SSH et sessions Telegram.

Le chiffre a continué de grimper. Mi-février, le registre a dépassé 10 700 compétences, et des analyses ultérieures ont porté le total malveillant à plus de 1 000 sur plusieurs comptes. Un audit plus large de plus de 31 000 compétences a signalé environ 7,6 % à risque, et un scan Snyk a trouvé 36 % contenant une injection de consignes détectable.

ClawHub exécute désormais des scans automatisés et dispose d'une intégration VirusTotal, ce qui en bloque beaucoup, mais l'injection de consignes dans le texte d'instructions peut encore passer. Lisez le SKILL.md avant toute installation, et si on vous demande de coller des commandes ou d'installer des binaires hors du processus normal, passez votre chemin. N'empilez pas des compétences tierces dès le premier jour non plus. Commencez avec le strict nécessaire et tenez les compétences inconnues à l'écart des fichiers et comptes sensibles.

Comparaison des compétences OpenClaw et Claude Skills

Les deux formats utilisent la même structure SKILL.md. La différence tient au lieu d'exécution. Les Claude Skills tournent dans l'infrastructure gérée d'Anthropic. Les compétences OpenClaw s'exécutent sur votre machine, à l'intérieur du périmètre de confiance complet de l'agent, avec accès aux fichiers locaux, aux commandes shell et aux sessions navigateur. Cet écart de rayon d'impact explique pourquoi le risque de chaîne d'approvisionnement pèse davantage ici que dans un environnement hébergé.

Comment configurer OpenClaw

Les étapes ci-dessous couvrent le déroulé général. Pour des captures d'écran et des commandes pas à pas, notre tutoriel OpenClaw présente l'ensemble du processus depuis zéro.

Avant d'installer

Vous avez besoin de Node.js 24 (Node 22.19 fonctionne aussi) et soit d'une clé API d'un fournisseur de modèles pris en charge, soit d'un serveur de modèle local répondant au minimum de 64 000 tokens de contexte évoqué plus haut. Sous Windows, WSL2 avec Ubuntu est la voie recommandée ; Windows natif présente des limites autour du démon gateway. Les besoins matériels sont modestes pour un usage de base, les déploiements de modèles locaux étant une autre histoire.

Une décision d'abord : où cela va-t-il tourner ? Une machine locale suffit pour expérimenter, mais pour du 24/7, utilisez un VPS dédié ou une machine séparée plutôt que votre poste principal.

Déroulé d'installation à haut niveau

curl -fsSL https://openclaw.ai/install.sh | bash

Puis lancez l'assistant d'onboarding :

openclaw onboard --install-daemon

Il vous guide sur le choix du fournisseur, la configuration de la clé API et de la Gateway. À la fin, vérifiez que la Gateway tourne :

openclaw gateway status

Ensuite ouvrez le tableau de bord :

openclaw dashboard

Envoyez un message de test depuis un canal sans enjeu avant de connecter quoi que ce soit de sensible.

L'interface Control UI sur le port 18789. Image par l'auteur.

Paramètres sûrs à configurer tout de suite

Deux commandes de pare-feu comptent plus que les autres. Lancez-les avant toute chose :

openclaw config set gateway.bind localhost
sudo ufw deny 18789/tcp

La première lie la Gateway au loopback uniquement. La seconde bloque le port en externe. Plus de 220 000 instances OpenClaw étaient joignables publiquement à un pic, souvent parce que les utilisateurs ont sauté cette étape en suivant d'anciens tutoriels. Utilisez un profil de navigateur dédié pour toute automatisation web. Exécutez openclaw security audit --deep après l'installation d'une compétence. Utilisez des tokens d'authentification. Tenez les fichiers sensibles hors de la racine de l'espace de travail.

Tourner en local ne signifie pas tourner en sécurité. Une instance locale avec accès shell, accès fichiers et messageries connectées reste une véritable surface d'attaque, quel que soit l'emplacement du modèle.

Risques de sécurité d'OpenClaw

Ces risques sont spécifiques à OpenClaw, et plusieurs des incidents ci-dessous ont été exploités contre de vrais utilisateurs.

Le registre des CVE

CVE-2026-25253 (CVSS 8,8) est celle qui a été activement exploitée. Avant la version 2026.1.29, un lien malveillant pouvait rediriger silencieusement la connexion WebSocket de l'interface de contrôle vers un serveur contrôlé par l'attaquant. Le token d'authentification de la victime et les clés d'appareil étaient envoyés automatiquement lors du handshake, donc un seul clic sur un lien piégé suffisait. Un attaquant les détenant avait le contrôle total de la Gateway et pouvait exécuter des commandes shell arbitraires. Le correctif 2026.1.29 a ajouté une confirmation pour fermer la brèche.

CVE-2026-32922 (CVSS 9,9) a été divulguée le 29 mars 2026. Un appelant avec un périmètre de token minimal pouvait s'élever en admin complet et obtenir une exécution de code à distance sur tous les nœuds connectés. Corrigé en 2026.3.11. Si votre instance est antérieure à 2026.3.11, mettez-la à jour maintenant. Plus de 60 avis de sécurité ont été déposés contre le projet depuis son lancement.

Exposition internet et injection de consignes

Comme indiqué plus haut, plus de 220 000 instances étaient exposées publiquement à un pic, avec plus de 17 500 vulnérables à la famille d'attaques CVE-2026-25253. Le paramètre par défaut actuel lie au loopback, mais d'anciennes configs et des tutoriels communautaires ne le reflètent pas toujours.

L'injection de consignes est un problème plus subtil. OpenClaw lit des pages web, e-mails, documents et logs pour faire son travail. Si l'un d'eux contient des instructions malveillantes, l'agent peut les suivre. L'étude de cas Promptfoo de mars 2026 a montré un agent vérifiant ses accès, lisant des fichiers locaux, écrivant des fichiers et envoyant des messages non autorisés, déclenché par la visite d'une seule page web. Cela a fonctionné car la navigation, l'accès aux fichiers et la messagerie sortante partageaient un même périmètre de confiance, sans séparation.

Pire, des instructions issues de sources malveillantes insérées dans SOUL.md ou AGENTS.md survivent entre les sessions et redémarrages. L'agent les propage sans déclencheur externe.

Comment réduire le risque

L'essentiel rejoint les paramètres sûrs vus plus haut : mettez à jour régulièrement, gardez la Gateway en localhost avec le port bloqué, utilisez des tokens d'authentification, gardez les fichiers sensibles hors de l'espace de travail, et auditez après chaque changement. Utilisez un sandbox Docker pour les tâches manipulant des entrées externes, des tokens API fins avec date d'expiration, et traitez SOUL.md et AGENTS.md comme des fichiers de configuration à surveiller, pas comme du texte anodin.

Sortie d'audit après l'installation d'une compétence. Image par l'auteur.

OpenClaw n'est pas risqué parce qu'il est open source. Il est risqué parce qu'il peut exécuter des actions privilégiées si vous le configurez ainsi.

OpenClaw en vaut-il la peine ? Une évaluation honnête

Cette partie reflète mon analyse, pas un fait. Des agents qui agissent au lieu de seulement répondre appartiennent à une autre catégorie que les chatbots, et OpenClaw en est un exemple clair.

Sa pertinence dépend presque entièrement de l'utilisateur. Un développeur à l'aise avec le terminal, les logs, la surveillance d'API et le sandboxing peut en tirer parti dans des workflows étroits. Comme vu plus haut, les configurations qui tiennent sont les plus ciblées. Celles qui échouent, c'est quand on branche tous les outils, on installe une dizaine de compétences sans les lire et on laisse des heartbeats tourner sur des prompts ouverts en espérant le meilleur.

Mon avis : l'automatisation complexe peut coûter plus en maintenance qu'elle n'économise, et le cas d'usage le plus fiable est peut-être un résumé quotidien d'actus. Rapport modeste pour l'effort de mise en place. Le bon cadrage, c'est de l'infrastructure, pas un assistant. Traitez-le ainsi, commencez petit et gardez des limites strictes. Si vous voulez une app grand public "smart", nous n'y sommes pas encore.

OpenClaw vs ChatGPT, Claude, Cursor et Zapier

ChatGPT et Claude sont des interfaces de chat sans état : pas de tâches planifiées persistantes, pas d'accès local aux fichiers par défaut.

Claude Code et Cursor se cantonnent au développement logiciel dans un dépôt ; ils sont meilleurs en code qu'OpenClaw, mais c'est leur seule mission. Claude Code a ajouté en avril 2026 une planification hébergée appelée Routines, qui couvre une partie de ce que fait HEARTBEAT dans OpenClaw sans la charge d'infrastructure.

Zapier et n8n sont des outils de workflows déterministes où chaque étape est prédéfinie, plus auditables mais moins aptes à gérer des demandes floues qu'un agent interprétant le langage naturel.

Un cadrage utile issu de la communauté en 2026 : OpenClaw comme couche de raisonnement pour les tâches ambiguës, n8n ou Zapier comme couche d'exécution pour les volumes élevés et prévisibles, reliés via des webhooks. Les deux ne sont pas toujours en concurrence.

Pour qui OpenClaw est adapté

Les développeurs qui automatisent des workflows techniques récurrents et les chercheurs qui étudient les agents outillés sont les profils les plus adaptés. Les utilisateurs homelab qui gèrent déjà des services auto-hébergés trouveront la mise en place familière.

Qui devrait éviter OpenClaw ?

Quiconque n'est pas à l'aise avec les commandes terminal, les permissions de fichiers et la gestion de clés API devrait attendre. La configuration n'est pas destinée aux débutants.

De même, toute personne manipulant des fichiers sensibles sans environnement sandboxé devrait s'abstenir. Les équipes avec des exigences de conformité auront peut-être besoin d'alternatives managées comme AWS Bedrock Agents. Et si vous n'êtes pas disposé à inspecter le code des compétences communautaires avant installation, mieux vaut ne pas exécuter de compétences ClawHub sur une machine contenant de vrais identifiants.

Conclusion

OpenClaw compte parce qu'il montre à quoi ressemblent des agents IA personnels quand ils peuvent agir : pas des chatbots plus malins, mais des systèmes avec accès à vos fichiers, votre shell, votre navigateur et vos messageries.

Les risques sont réels pour la même raison. L'accès qui permet un briefing matinal ou une revue de PR est le même que ClawHavoc a détourné pour voler des identifiants.

Commencez par une tâche. Exécutez-la dans un environnement isolé. Fixez des limites. Comme mentionné plus haut, examinez les compétences avant de les installer. OpenClaw n'est pas un produit que l'on déploie puis qu'on oublie. C'est de l'infrastructure, et le traiter comme tel dès le départ évite que l'expérience ne tourne à l'incident.

Pour aller plus loin, nos guides projets OpenClaw et compétences ClawHub couvrent ce que les gens construisent. Le cours AI-Assisted Coding for Developers couvre des compétences d'agent plus larges.