L’outil d’agents d’IA open source OpenClaw a été publié le 8 avril 2026, dans la version 2026.4.7, avec de grandes mises à jour de fonctionnalités, telles que l’extension des capacités de raisonnement, la génération de médias multi-fournisseurs et la restauration d’une base de connaissances en mémoire. Toutefois, à la même période, la société de recherche en cybersécurité Blink a révélé une vulnérabilité critique d’une gravité allant jusqu’à 9.8/10 : environ 63 % des instances connectées d’OpenClaw fonctionnent sans authentification complète.
Vue d’ensemble des principales nouvelles fonctionnalités de la version 2026.4.7
Cette mise à jour couvre quatre modules fondamentaux : le raisonnement, la génération de médias, la mémoire et l’automatisation.
Fonctionnalités nouvelles et améliorations principales
Fonctionnalité de raisonnement d’OpenClaw : en tant que pivot unique du flux de raisonnement, prend en charge des capacités de raisonnement pilotées par des fournisseurs pour les tâches multi-modèles, médias, réseau et intégration
Basculement automatique de la génération de médias : par défaut, prise en charge d’un basculement automatique en cas de défaillance entre des fournisseurs d’authentification pour les images, la musique et la vidéo ; lors du changement de fournisseur, conservation de l’intention de génération d’origine, mappage automatique de la taille, du rapport hauteur/largeur, de la résolution et de la durée vers les options les plus proches prises en charge, et ajout de la prise en charge d’une vidéo vers vidéo (Video-to-Video) basée sur la perception du mode
Restauration de la base de connaissances en mémoire (Memory/Wiki) : reconstruction de la pile technologique intégrée de la base de connaissances en mémoire, couvrant les plugins, les outils en ligne de commande, les outils de requête synchrones dans la chaîne d’outils, ainsi que des déclarations structurées et des champs de preuves, et la fonctionnalité de recherche par résumé de compilation
Plugin entrant Webhook : ajout d’un plugin entrant Webhook intégré, prenant en charge des systèmes d’automatisation externes qui partagent indépendamment des points de terminaison de clé via différents routes, pour établir et exécuter des flux de tâches liées
Prise en charge de nouveaux modèles : Arcee, Gemma 4 et les modèles visuels d’Ollama sont officiellement inclus dans la liste des modèles pris en charge
Vulnérabilité critique CVE-2026-33579 : six semaines, sixième fois, le design fondamental n’est pas corrigé
Les chercheurs de Blink révèlent que le mécanisme de fonctionnement de CVE-2026-33579 est clair et que les conséquences sont graves : le système d’appairage des appareils d’OpenClaw ne vérifie pas si les personnes qui font des demandes d’accès approuvé détiennent réellement une autorisation. Cela signifie que des attaquants disposant des droits d’appairage de base n’ont qu’à demander des privilèges d’administrateur pour que leur demande soit approuvée — la porte est déverrouillée de l’intérieur.
Les données d’enquête de Blink montrent qu’environ 63 % des instances connectées d’OpenClaw fonctionnent sans effectuer aucune authentification ; dans ces environnements de déploiement, l’attaquant peut attaquer sans aucun compte et faire ensuite évoluer l’attaque progressivement jusqu’au niveau administrateur.
Le correctif a été publié le 5 avril (dimanche), mais la liste officielle des CVE n’est apparue qu’en début de semaine mardi ; la fenêtre de deux jours a permis aux attaquants de prendre une avance avant que la majorité des utilisateurs ne prennent conscience de la nécessité de mettre à jour.
Le problème plus profond tient au fait que cette vulnérabilité est le sixième problème lié à l’appairage révélé en six semaines pour OpenClaw, et qu’il s’agit de différentes variantes d’un même défaut de conception au niveau du système d’autorisation. Chaque fois, le correctif traite des vulnérabilités spécifiques de manière ciblée, plutôt que de redessiner entièrement l’architecture du système d’autorisation ; ce schéma montre un risque structurel de voir apparaître des vulnérabilités similaires à nouveau.
Recommandations d’utilisation : mesures d’urgence pour les utilisateurs existants
Les utilisateurs qui utilisent encore OpenClaw doivent immédiatement le mettre à jour vers la version 2026.3.28. Si, au cours de la semaine passée, vous avez utilisé une ancienne version, Ars Technica et Blink recommandent toutes deux de considérer les instances concernées comme potentiellement déjà compromises, et d’effectuer une vérification complète des journaux d’activité afin d’identifier les enregistrements d’approbation d’appareils suspects. Le fondateur d’OpenClaw, Peter Steinberger, avait déjà publié un avertissement sur GitHub : « Il n’existe pas de configuration “entièrement sûre”. » Comment trouver un équilibre entre la commodité des fonctionnalités et les risques de sécurité est la considération centrale à laquelle chaque utilisateur d’OpenClaw doit faire face.
Questions fréquentes
Quelles sont les principales nouvelles fonctionnalités de la version OpenClaw 2026.4.7 ?
Cette mise à jour ajoute des extensions de fonctionnalités de flux de raisonnement, prenant en charge le raisonnement piloté par des fournisseurs multi-modèles et médias ; le basculement automatique en cas de défaillance de la génération de médias (images, musique, vidéo) ; la restauration de la pile technologique de la base de connaissances en mémoire intégrée ; et l’ajout d’un plugin entrant Webhook. Elle ajoute également la prise en charge des modèles visuels d’Arcee, de Gemma 4 et d’Ollama.
Pourquoi la vulnérabilité CVE-2026-33579 est-elle aussi dangereuse ?
Le score de gravité de CVE-2026-33579 est de 9.8/10, car elle permet à une personne disposant des plus faibles privilèges d’approuver sa propre demande d’élévation de privilèges administrateur, ce qui permet une prise de contrôle totale du système. Environ 63 % des instances connectées d’OpenClaw n’ont aucune protection par authentification, et les attaquants n’ont besoin d’aucune pièce d’identité pour lancer l’attaque. Le délai de publication de CVE de deux jours élargit encore davantage la fenêtre d’attaque.
Cela signifie-t-il que l’architecture de sécurité d’OpenClaw a un problème fondamental ?
D’après l’analyse de Blink, CVE-2026-33579 est la sixième vulnérabilité liée à l’appairage apparue en six semaines pour OpenClaw, et il s’agit toutes de variantes différentes d’un même défaut de conception du système d’autorisation au niveau de la base. Chaque correctif correspond à une réparation ponctuelle de vulnérabilités, et non à une refonte fondamentale de l’ensemble du système d’autorisation ; les chercheurs en sécurité déclarent s’en inquiéter.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
