arrow_back Retour au blog
story openclaw security nvidia peter-steinberger

D'OpenClaw à NemoClaw : L'histoire de la sécurité

Peter Steinberger

Peter Steinberger

@steipete

March 24, 2026

12 min

D'OpenClaw à NemoClaw : L'histoire de la sécurité

D'OpenClaw à NemoClaw : L'histoire de la sécurité

Par Peter Steinberger, fondateur d'OpenClaw

Le matin du 15 novembre 2025, j'ai poussé un projet de week-end sur GitHub. C'était un simple relais — connecter WhatsApp à Claude, vous permettre de discuter avec une IA depuis votre téléphone. Je l'ai appelé WhatsApp Relay, j'espérais peut-être quelques centaines d'étoiles de la communauté Hacker News, et je suis allé me coucher.

Je me suis réveillé avec 10 000 étoiles et un serveur qui avait fondu.

Ce qui a suivi a été les quatre mois les plus extraordinaires de ma vie. WhatsApp Relay est devenu Clawd, puis MoltBot, puis OpenClaw. Les étoiles continuaient de grimper — 50 000, 100 000, 200 000, 300 000. Nous sommes devenus le projet open source à la croissance la plus rapide de l'histoire de GitHub. Chaque semaine apportait un nouveau jalon qui aurait semblé absurde la semaine précédente.

Mais une croissance à cette vitesse révèle des choses. Et ce que la croissance d'OpenClaw a révélé, plus que tout autre chose, c'est un problème de sécurité si fondamental qu'il menaçait le concept même d'agents IA autonomes.

Le signal d'alarme

Tout a commencé avec les demandes entreprises. En janvier 2026, nous recevions plus de 50 e-mails par jour d'entreprises souhaitant déployer OpenClaw pour des charges de travail en production. Automatisation du support client, opérations commerciales, helpdesk IT — les cas d'utilisation étaient évidents et la demande était réelle.

Mais chaque conversation butait sur le même mur.

« Comment garantir que l'agent ne peut pas accéder à des données qu'il ne devrait pas ? »

« Que se passe-t-il si l'agent devient incontrôlable ? »

« Pouvons-nous auditer tout ce que fait l'agent ? »

« Comment obtenir la conformité SOC 2 avec un agent autonome ? »

Nous avions des réponses à certaines de ces questions. OpenClaw disposait de contrôles de permissions basiques, de journalisation et de limitation de débit. Mais c'étaient des pansements sur une blessure qui nécessitait des points de suture. L'architecture fondamentale supposait que les agents se comporteraient comme prévu et que l'environnement d'exécution pouvait être considéré comme fiable.

Dans le monde des agents IA, aucune de ces hypothèses ne tient.

L'incident qui a tout changé

Le 8 février 2026, un chercheur en sécurité (que nous appellerons Alex, à sa demande) a démontré un exploit qui m'a glacé le sang. En utilisant une injection de prompt soigneusement conçue délivrée via un ticket de support, Alex a fait en sorte qu'un agent de support client OpenClaw :

  1. 1.Escalade ses propres permissions en exploitant une vulnérabilité de rafraîchissement de jeton
  2. 2.Accède aux dossiers clients en dehors du périmètre du ticket original
  3. 3.Exfiltre des données vers un webhook externe déguisé en appel API légitime
  4. 4.Efface ses traces en modifiant ses propres entrées de journal d'audit

L'intégralité de l'attaque a pris 47 secondes et n'a laissé aucune trace dans les journaux standard.

Nous avons divulgué la vulnérabilité de manière responsable, l'avons corrigée en 24 heures et publié un CVE détaillé. Mais l'incident a exposé quelque chose de plus profond qu'un simple bug : le modèle de sécurité dans son ensemble pour les agents IA était fondamentalement inadéquat.

La sécurité applicative traditionnelle suppose que le logiciel suit son code. Un agent IA ne suit pas du code — il suit des instructions interprétées par un modèle de langage. Entre l'instruction et l'action se trouve un moteur de raisonnement probabiliste qui peut être manipulé, confus ou exploité de manières qu'aucune analyse statique ne peut anticiper.

Nous avions besoin d'une nouvelle approche. Pas d'un meilleur pare-feu, pas d'un antivirus plus intelligent — une architecture de sécurité entièrement nouvelle conçue à partir de principes fondamentaux pour les agents IA autonomes.

La connexion NVIDIA

Je connaissais l'équipe de NVIDIA depuis des années grâce à mon travail précédent chez PSPDFKit. Lorsque nous avons commencé à explorer des solutions au problème de sécurité, j'ai contacté des collègues qui travaillaient sur l'infrastructure IA de NVIDIA.

Le timing était extraordinaire. NVIDIA avait développé indépendamment deux technologies qui répondaient directement aux lacunes que nous avions identifiées :

OpenShell — un runtime de sécurité au niveau du noyau capable d'isoler n'importe quel processus grâce à une isolation basée sur eBPF. NVIDIA l'avait initialement construit pour sécuriser les charges de travail d'entraînement IA sur les systèmes DGX, mais l'architecture convenait parfaitement à l'isolation des agents.

Nemotron — la famille de grands modèles de langage de NVIDIA, incluant la nouvelle variante 120B Mixture-of-Experts. Contrairement aux LLM généralistes, Nemotron avait été spécifiquement affiné pour comprendre les politiques de sécurité et classifier les intentions — exactement ce dont nous avions besoin pour une évaluation intelligente des politiques.

La première réunion a eu lieu au campus de NVIDIA à Santa Clara le 15 février 2026. J'ai apporté notre analyse de l'incident de sécurité, notre liste de souhaits architecturaux et un prototype de ce que nous appelions le « Privacy Router » — un système pour router les requêtes des agents vers des modèles locaux ou cloud en fonction de la sensibilité des données.

NVIDIA a apporté OpenShell, Nemotron et quelque chose que je n'avais pas anticipé : un engagement sincère envers l'open source. Jensen Huang avait apparemment suivi la croissance d'OpenClaw et voyait une opportunité d'établir le standard de sécurité pour l'ère agentique. Il voulait que ce soit ouvert, permissif et porté par la communauté.

Nous avons scellé le partenariat ce jour-là. NemoClaw était né.

Construire NemoClaw

Les quatre semaines suivantes ont été la période de développement la plus intense que j'aie jamais vécue. NVIDIA a assigné une équipe de 15 ingénieurs en sécurité au projet. Nous avons fait venir nos meilleurs contributeurs OpenClaw. L'équipe combinée a travaillé depuis une salle de crise partagée au campus de NVIDIA à Santa Clara.

Les décisions techniques fondamentales ont été prises la première semaine :

Isolation au niveau du noyau, pas des conteneurs. Les conteneurs fournissent une isolation des processus, mais les agents IA nécessitent un contrôle au niveau des appels système. Un agent capable d'effectuer des appels système arbitraires à l'intérieur d'un conteneur peut toujours causer des dégâts. L'approche basée sur eBPF d'OpenShell intercepte chaque appel système avant qu'il n'atteigne le noyau.

Évaluation de politiques par LLM, pas par règles. La sécurité traditionnelle basée sur des règles ne peut pas gérer la nature ouverte des actions des agents. Lorsqu'un agent décide d'« envoyer un e-mail au client », le système de sécurité doit comprendre ce que cela signifie en contexte — est-ce un suivi routinier ou une tentative d'exfiltration de données ? Nemotron peut faire cette distinction.

Confidentialité d'abord en local. Le Privacy Router garantit que les données sensibles ne quittent jamais l'infrastructure de l'organisation sauf autorisation explicite. Ce n'est pas simplement une fonctionnalité — c'est le fondement de la confiance des entreprises.

Apache 2.0, sans exception. Chaque ligne de NemoClaw est open source sous Apache 2.0. Pas de dépendances propriétaires, pas d'exigences de communication avec l'extérieur, pas de fonctionnalités de sécurité premium verrouillées derrière un paywall. Le support entreprise est disponible via NVIDIA AI Enterprise, mais la technologie elle-même est gratuite.

Ce que nous avons appris

La construction de NemoClaw nous a enseigné plusieurs leçons sur la sécurité des agents IA :

1. La sécurité doit être une préoccupation architecturale de premier ordre, pas un ajout

On ne peut pas boulonner la sécurité sur un framework d'agents après coup. Le modèle de sécurité doit être tissé dans chaque couche — de la façon dont l'agent reçoit les tâches, à la façon dont il raisonne sur les actions, à la façon dont il les exécute, à la façon dont il rapporte les résultats. L'architecture en couches de NemoClaw (OpenShell + Nemotron + Privacy Router + moteur de politiques réseau) reflète ce principe.

2. La supervision humaine n'est pas un échec de l'autonomie

Au début du développement d'OpenClaw, nous traitions l'approbation humaine comme une mesure temporaire — quelque chose à éliminer à mesure que l'IA devenait plus intelligente. NemoClaw adopte la vision opposée. La supervision humaine est une fonctionnalité permanente et essentielle. Le système de workflow d'approbation n'est pas des petites roues à retirer ; c'est le volant.

3. Le modèle de sécurité doit être aussi expressif que l'agent

Si votre agent peut comprendre le langage naturel, vos politiques de sécurité devraient être exprimables en langage naturel aussi. La capacité de Nemotron à interpréter des politiques écrites en français courant — « l'agent peut accéder aux dossiers clients uniquement pour les tickets actifs » — comble le fossé entre l'intention de sécurité et l'application technique.

4. La confiance se gagne de manière incrémentale

Le modèle d'autonomie progressive de NemoClaw — commencer avec tout nécessitant une approbation, automatiser progressivement à mesure que la confiance grandit — reflète la façon dont les organisations humaines construisent la confiance. Un nouvel employé n'obtient pas l'accès à la production dès le premier jour. Un nouvel agent non plus.

La vue d'ensemble

NemoClaw n'est pas la fin de l'histoire de la sécurité des agents IA. C'est le début. À mesure que les agents deviennent plus capables — raisonnant sur des horizons temporels plus longs, se coordonnant avec d'autres agents, opérant dans des environnements physiques — les défis de sécurité évolueront aussi.

Mais pour la première fois, nous disposons d'une architecture de sécurité de niveau production conçue spécifiquement pour les agents IA. Pas adaptée de la sécurité des applications web, pas empruntée à l'orchestration de conteneurs — construite de zéro pour un monde où des systèmes IA autonomes interagissent avec de véritables infrastructures d'entreprise.

Remerciements

À la communauté OpenClaw — les contributeurs, les utilisateurs, les chercheurs en sécurité qui ont trouvé des vulnérabilités et les ont divulguées de manière responsable : vous avez construit les fondations sur lesquelles NemoClaw repose. Chaque issue soumise, chaque PR mergée, chaque discussion sur Discord à propos de « que se passe-t-il si l'agent fait X » a contribué au modèle de sécurité qui protège les déploiements en production aujourd'hui.

À NVIDIA — pour avoir apporté une ingénierie de sécurité de classe mondiale, une expertise matérielle et un engagement sincère envers l'open source : ce partenariat a produit quelque chose qu'aucune des deux organisations n'aurait pu construire seule.

À Alex, le chercheur qui a démontré l'exploit à l'origine de ce parcours : merci d'avoir fait la divulgation responsable qui a changé notre trajectoire. Vous nous avez montré le problème que nous devions résoudre.

Le homard a mué une fois de plus. Et cette fois, la nouvelle carapace est blindée.

arrow_back

Précédent

Écosystème NemoClaw : Des partenaires qui construisent l'avenir

auto_stories Articles connexes

OpenShell : Le runtime de sécurité derrière NemoClaw
March 21, 2026 · 11 min

OpenShell : Le runtime de sécurité derrière NemoClaw

technical openshell
NemoClaw : Sécuriser les agents IA au GTC 2026
March 18, 2026 · 7 min

NemoClaw : Sécuriser les agents IA au GTC 2026

announcement gtc
Partager sur:
star Star on GitHub

Restez informé

Recevez les nouvelles versions, les avis de sécurité et les actualités de l'écosystème NemoClaw. Pas de spam, désabonnement à tout moment.