Claw Chain : quatre CVE OpenClaw qui transforment l'agent IA en main de l'attaquant
Divulguées le 15 mai 2026, les failles Claw Chain de Cyera Research chaînent quatre vulnérabilités OpenClaw — évasion de sandbox, fuite de variables d'environnement, élévation de privilèges MCP, lecture par symlink — en prise de contrôle complète de l'hôte via l'agent.
What is this?
Le 15 mai 2026, Cyera Research a publié Claw Chain, le compte-rendu public de quatre vulnérabilités chaînables dans OpenClaw, l’une des plateformes open source d’agents IA autonomes à la croissance la plus rapide. Les quatre failles (CVE-2026-44112, CVE-2026-44113, CVE-2026-44115, CVE-2026-44118) ont été signalées aux mainteneurs en avril 2026 puis corrigées dans la release OpenClaw 2026.4.22 le 23 avril 2026, trois semaines avant la divulgation publique. Les correctifs correspondent aux GitHub Security Advisories GHSA-5h3g-6xhh-rg6p, GHSA-wppj-c6mr-83jj, GHSA-r6xh-pqhr-v4xh et GHSA-x3h8-jrgh-p8jx.
Prises individuellement, ces CVE sont déjà sévères — le score le plus élevé atteint 9,6 (CRITIQUE) — mais l’enseignement éditorial tient à leur enchaînement. À partir d’un seul point d’ancrage obtenu via une injection de prompt, un plugin malveillant ou un input amont empoisonné, l’attaquant remonte jusqu’à une persistance au niveau hôte, le tout avec les privilèges de l’agent. Cyera évalue à 65 000 (Shodan) à 180 000 (Zoomeye) instances OpenClaw exposées publiquement au moment de la divulgation.
How it works
OpenClaw connecte un LLM à des systèmes de fichiers, des SaaS, des identifiants et un sandbox d’exécution baptisé OpenShell. Chacune des quatre failles affaiblit une garantie spécifique que le reste du runtime suppose acquise :
- CVE-2026-44112 — Évasion d’écriture sandbox par TOCTOU (CVSS 9,6). Une condition de course time-of-check / time-of-use sur OpenShell permet de rediriger une écriture validée vers un chemin hors sandbox après la vérification.
- CVE-2026-44115 — Fuite de variables d’environnement via allowlist d’exécution (CVSS 8,8). Les commandes validées sont ensuite ré-expansées par le shell à l’intérieur de heredocs non échappés, exfiltrant clés d’API, jetons et secrets via une commande qui paraissait sûre au moment du contrôle.
- CVE-2026-44118 — Élévation de privilèges par boucle MCP (CVSS 7,8). La gateway MCP fait confiance à un drapeau
senderIsOwnercontrôlé par le client sans le revalider face à la session authentifiée. Un processus local porteur d’un bearer token valide s’élève au rang d’owner. - CVE-2026-44113 — Évasion de lecture sandbox par TOCTOU (CVSS 7,7). La même race condition côté lecture : on substitue le chemin validé par un lien symbolique et l’agent lit des fichiers auxquels il ne devait jamais accéder.
Cyera décrit la chaîne en quatre étapes. Étape 1, point d’ancrage : exécution de code dans OpenShell via plugin, injection de prompt ou input empoisonné. Étape 2, exfiltration — CVE-2026-44113 et CVE-2026-44115 récupèrent secrets et fichiers accessibles. Étape 3, élévation de privilèges via CVE-2026-44118 jusqu’au contrôle owner de la gateway, du cron et de l’environnement d’exécution. Étape 4, persistance par CVE-2026-44112 : des backdoors sont écrites hors du sandbox et survivent aux redémarrages.
# Chaîne conceptuelle — illustrative, pas du code d'exploitation
foothold := plugin | prompt_injection | poisoned_input
exfiltrate := read_escape (CVE-44113) + env_leak (CVE-44115)
escalate := senderIsOwner = true (CVE-44118)
persist := write_escape (CVE-44112) → backdoor hors sandboxWhy it matters
Trois enseignements pèsent plus lourd qu’une CVE isolée.
D’abord, l’agent devient la primitive de mouvement latéral. Chaque étape de Claw Chain ressemble à de l’activité d’agent normale pour les outils de périmètre et l’EDR. Le runtime fait ce pour quoi il a été construit — lire des fichiers, exécuter des commandes, planifier des tâches — seuls les inputs sont hostiles. Il n’y a pas de signature exotique à détecter.
Ensuite, les TOCTOU reviennent, déguisées en sandbox d’agent. Deux CVE sur quatre sont des races classiques sur validation de chemin, un motif que la sécurité poursuit depuis trente ans. La nouveauté est le modèle de menace : un appelant non humain, sans pause (le LLM) génère des opérations filesystem à vitesse machine, réduisant la fenêtre check / use et créant des conditions idéales pour la race.
Enfin, les frontières de confiance MCP sont désormais une vraie surface d’attaque. CVE-2026-44118 traite une affirmation cliente comme vérité. Tout framework exposant une gateway locale de type MCP hérite exactement de ce mode d’échec, sauf si chaque bit privilégié est lié à une session côté serveur, et non à un drapeau envoyé par l’appelant.
Defenses
Actions concrètes qui découlent de la divulgation.
Si vous exécutez OpenClaw, appliquez la release 2026.4.22 et les quatre advisories GitHub citées plus haut. Considérez comme potentiellement compromis tout secret accessible au runtime pendant la fenêtre antérieure au patch : faites tourner clés d’API, bearer tokens et identifiants stockés dans les variables d’environnement des processus OpenShell. Inventoriez les instances exposées sur Internet — Shodan en dénombre environ 65 000 — et placez-les derrière une authentification et des contrôles réseau.
Pour tout runtime d’agent, retirez de la frontière de confiance les drapeaux d’autorisation fournis par le client. Liez owner, rôle et tenant strictement à la session authentifiée côté serveur. Le motif senderIsOwner est l’équivalent agentique d’un paramètre d’URL ?admin=true auquel on ferait confiance.
Quotez et isolez l’expansion des variables d’environnement dans les invocations shell. Un validateur qui approuve une chaîne de commande sans contrôler la façon dont le shell expansera les variables à l’intérieur de heredocs fournit l’illusion d’une allowlist. Soit interdire l’expansion ${...} et $VAR au niveau du validateur, soit refuser les heredocs dans les commandes émises par un agent.
Éliminez la fenêtre TOCTOU. Ouvrez le descripteur de fichier une seule fois, validez l’inode via fstat sur ce descripteur, puis opérez sur le descripteur — jamais une nouvelle ouverture par chemin. Refusez les liens symboliques traversant la racine du sandbox avec O_NOFOLLOW et les flags de résolution openat2.
Enfin, traitez l’agent comme une identité privilégiée, pas un outil. Limitez les données, identifiants et SaaS qu’il peut atteindre au strict minimum utile. Segmentez son réseau. Journalisez par plugin et par prompt vers un puits hors bande, pour qu’un runtime compromis ne puisse pas réécrire sa propre piste d’audit.
Status
| Élément | Détail |
|---|---|
| CVE | CVE-2026-44112, CVE-2026-44113, CVE-2026-44115, CVE-2026-44118 |
| CVSS maximal | 9,6 (CRITIQUE) — CVE-2026-44112 |
| Signalement aux mainteneurs | Avril 2026 |
| Correctif | OpenClaw 2026.4.22 — 23 avril 2026 |
| Publication du write-up | 15 mai 2026 (Cyera Research) |
| Versions affectées | Toutes antérieures à 2026.4.22 |
| Instances exposées | ~65 000 (Shodan) · ~180 000 (Zoomeye) |
| GHSA | GHSA-5h3g-6xhh-rg6p, GHSA-wppj-c6mr-83jj, GHSA-r6xh-pqhr-v4xh, GHSA-x3h8-jrgh-p8jx |
| Découvreur | Cyera Research |
Sources
- → https://www.cyera.com/blog/claw-chain-cyera-research-unveil-four-chainable-vulnerabilities-in-openclaw
- → https://thehackernews.com/2026/05/four-openclaw-flaws-enable-data-theft.html
- → https://www.darkreading.com/application-security/claw-chain-vulnerabilities-threaten-openclaw
- → https://www.esecurityplanet.com/threats/openclaw-vulnerabilities-could-enable-full-ai-agent-takeover/
- → https://www.bankinfosecurity.com/patched-openclaw-flaw-let-hackers-hijack-ai-agents-a-31720
- → https://cybersecuritynews.com/openclaw-chain-vulnerabilities/