Des chercheurs en sécurité ont récemment divulgué une série de vulnérabilités en cascade affectant le framework d’IA agentique open source OpenClaw, collectivement désignée sous le nom de « Claw Chain ». Ces quatre failles peuvent être enchaînées par un attaquant pour former une chaîne d’attaque complète, allant de l’intrusion initiale au vol d’identifiants, à l’élévation de privilèges et à l’implantation persistante de portes dérobées. Actuellement, l’équipe de maintenance d’OpenClaw a reçu le rapport de la société de cybersécurité Cyera et a publié tous les correctifs nécessaires.
Les quatre vulnérabilités découvertes portent les identifiants CVE-2026-44112, CVE-2026-44115, CVE-2026-44118 et CVE-2026-44113. Parmi elles, la CVE-2026-44118 (CVSS 7,8) est une faille d’élévation de privilèges due à une validation de session inadéquate. La CVE-2026-44113 (CVSS 7,8) est une vulnérabilité de type TOCTOU (temps de vérification contre temps d’utilisation), permettant à un attaquant d’accéder sans autorisation à des fichiers de configuration système, clés API, identifiants et autres données sensibles. Les deux autres failles concernent respectivement une fuite de variables d’environnement et un risque d’exécution de code. Combinées, elles franchissent les barrières de sécurité de l’agent IA, menaçant les systèmes internes, les environnements cloud et les applications SaaS connectés.
