Une faille critique dans OpenClaw permet de contourner l'approbation d'exécution de code

OpenClaw, un assistant IA open-source distribué via npm, présente une vulnérabilité critique identifiée sous l'ID GHSA-HWPQ-RRPF-PGCQ. Publiée le 2 mars 2026, cette faille permet à un attaquant de tromécution d'un binaire malveillant en masquant sa commande sous une apparence bénigne. Le problème réside dans le outil system.run, où un décalage existe entre l'affichage des commandes et leur exécution réelle. Dans le contexte plus large des agents IA autonomes, cette vulnérabilité met en lumière les risques inhérents aux mécanismes d'approbation des outils. Les agents IA comme OpenClaw, conçus pour exécuter des commandes système via des appels d'outils, dépendent d'une validation stricte par l'utilisateur pour éviter les abus. Historiquement, des failles similaires dans des frameworks d'agents, telles que des injections de prompts ou des contournements d'outils, ont conduit à des exécutions arbitraires de code, soulignant la nécessité de liaisons précises entre affichage et exécution. Techniquement, l'attaque exploite des espaces en fin de nom de binaire, affichant une commande propre à l'utilisateur tandis que le système exécute la version piégée. Notée 7.2 sur l'échelle CVSS avec un vecteur réseau via instructions d'agent, elle correspond au CWE-290 (authenticité non vérifiée). Un correctif dans le commit 03e689f impose une vérification stricte des arguments (argv) par identité exacte, remplaçant une simple comparaison de chaînes. Un PoC est disponible via l'advisory GitHub. Pour atténuer, les utilisateurs doivent passer à la version 2026.2.25 ou supérieure, auditer les logs de system.run pour des anomalies comme des espaces suspects, et limiter l'accès en écriture de l'agent aux répertoires du PATH système.