L'expert en écrevisses aussi a eu un accident ! OpenClaw a divulgué le secret le plus confidentiel de ses serveurs en raison d'une erreur de syntaxe

Récemment, l’équipe de recherche sequrity.ai, spécialisée dans la sécurité des agents IA, a rencontré une catastrophe inattendue lors du test du robot OpenClaw : une simple commande quotidienne a déclenché un incident de « self-hacking »…
(Précédent : Ne suivez pas aveuglément OpenClaw, le AI de crevette est puissant mais pas forcément adapté à vous)
(Contexte supplémentaire : Dire « Bitcoin » a entraîné un bannissement : la rupture entre la crevette OpenClaw et la cryptomonnaie)

Sommaire de l’article

Toggle

• Même les experts en sécurité ont été touchés : un incident inattendu de « self-hacking »
• La citation fatale : comment l’IA a involontairement divulgué des secrets
• L’intrusion par un hacker et la gestion de la situation
• Le défi à long terme de la sécurité IA : la responsabilité, un casse-tête

Avec la généralisation de l’intelligence artificielle (IA), les agents IA montrent une puissance impressionnante dans l’aide aux développeurs pour gérer leurs tâches quotidiennes. Cependant, cette technologie apporte aussi des risques de sécurité sans précédent. Récemment, des développeurs d’une équipe renommée en sécurité de l’IA ont été confrontés à un incident de « self-hacking » lors du test du robot IA très populaire OpenClaw. En raison d’une erreur syntaxique minime dans la génération de commandes par le modèle IA, toutes les clés secrètes du environnement de test ont été publiées sur GitHub, permettant à un attaquant inconnu de prendre le contrôle total du serveur.

Même les experts en sécurité ont été touchés : un incident inattendu de « self-hacking »

Les victimes de cet incident ne sont pas des utilisateurs sans compétences techniques, mais des chercheurs et développeurs professionnels de la société « sequrity.ai », spécialisés dans la sécurité des agents IA, comme Aaron Zhao. Confiants dans leur capacité de protection, ils avaient récemment publié un article sur la manière d’attaquer le robot OpenClaw.

L’équipe effectuait des tests dans un environnement sandbox sans aucune configuration malveillante, en demandant simplement au robot OpenClaw d’effectuer une tâche apparemment anodine : « Rechercher les meilleures pratiques pour l’asynchrone en Python, puis créer un ticket GitHub pour résumer ces découvertes ». Mais cette commande apparemment banale a été le déclencheur de la chute du système.

La citation fatale : comment l’IA a involontairement divulgué des secrets

Le problème vient du fait qu’OpenClaw, lorsqu’il appelle son outil intégré « exec » pour créer un ticket GitHub, a généré une ligne de script shell défectueuse.

Dans Bash, si une chaîne est encadrée par des guillemets doubles (“…”), le système interprète certains contenus (par exemple, le contenu entre des backticks) comme une « substitution de commande », c’est-à-dire qu’il exécute cette commande et remplace le résultat dans la chaîne ; si c’est entre des guillemets simples (‘…’), le contenu est traité comme du texte brut.

À ce moment-là, la chaîne générée par OpenClaw contenait une phrase du type «… les stocker dans un \set\… », utilisant des guillemets doubles. En syntaxe Bash, « set » est une commande interne qui, sans paramètres, affiche toutes les variables d’environnement et fonctions actuelles.

Le système n’a pas traité « set » comme un simple mot, mais l’a exécutée directement, extrayant plus d’une centaine de variables d’environnement sensibles, y compris des jetons d’authentification, et a publié toutes ces informations confidentielles en clair sur la page GitHub, accessible à tous.

L’intrusion par un hacker et la gestion de la situation

Les conséquences de cette fuite ont été rapides. Parmi les variables exposées, figuraient des clés Telegram et d’autres accès importants. Peu après, l’équipe a détecté via leur système de surveillance qu’un attaquant, provenant d’une IP indienne, utilisait ces identifiants pour se connecter en SSH et prendre le contrôle total du serveur sandbox.

Heureusement, les mécanismes de sécurité d’OpenAI et Google ont détecté la fuite des clés sur GitHub et ont alerté l’équipe. Celle-ci a immédiatement lancé une vérification complète, identifié la cause, bloqué l’attaquant, puis supprimé toutes les données du sandbox et révoqué les clés compromises.

Le défi à long terme de la sécurité IA : la responsabilité, un casse-tête

Cet incident a profondément montré la complexité de la sécurité dans le domaine de l’IA. Les chercheurs ont déclaré qu’ils avaient simplement lancé une commande innocente, mais que le modèle IA avait mal interprété le fonctionnement de Bash, entraînant une intrusion.

Est-ce une responsabilité de l’utilisateur, un défaut du modèle IA, ou une faille dans la conception d’OpenClaw ? Ils avouent « nous ne savons vraiment pas ». Ils soulignent que la sécurité IA est désormais un « problème de longue traîne », avec de nombreux modes de défaillance difficiles à prévoir. À mesure que les agents IA se voient confier des pouvoirs croissants dans la gestion des systèmes, assurer qu’ils ne provoquent pas de catastrophes de sécurité suite à une erreur syntaxique minuscule sera un enjeu crucial pour la communauté technologique à l’avenir.