OpenClaw, Claude Cowork : le CERT-FR met en garde contre les agents IA autonomes

Le CERT-FR, le centre gouvernemental français de veille et de réponse aux menaces informatiques, a publié le 13 avril 2026 un bulletin consacré aux risques des outils d’automatisation par IA agentique sur les postes de travail. Le document cible nommément OpenClaw et Claude Cowork, deux solutions dont l’adoption a fortement progressé depuis le début de l’année 2026.

Des agents qui élargissent la surface d’attaque des systèmes d’information

Le bulletin CERTFR-2026-ACT-016 dresse un constat sans ambiguïté. Selon le CERT-FR, « les assistants personnels autonomes tels qu’OpenClaw ne doivent pas être déployés sur des postes de travail et leur usage doit être proscrit, tant que le produit n’est pas stabilisé et éprouvé du point de vue de la sécurité ».

« Contrairement aux assistants conversationnels classiques (…), ces outils peuvent exécuter des commandes système, contrôler un navigateur, lire et écrire des fichiers, gérer un calendrier ou encore envoyer des emails », le tout depuis des applications du quotidien (Slack, WhatsApp, Discord), rappelle l’entité gouvernementale. Le CERT-FR identifie plusieurs catégories de risques :

• Compromission du poste utilisateur via des vulnérabilités dans des outils encore en version bêta,
• Fuite de données sensibles vers des ressources externes non maîtrisées,
• « Droits d’accès démesurés » accordés aux agents sur l’ensemble des applications bureautiques,
• Exposition des secrets d’authentification,
• « Actions destructrices » affectant l’intégrité ou la disponibilité des données.

Le bulletin pointe en particulier la vulnérabilité intrinsèque des modèles de langage aux injections de prompt. Selon l’organisme, « un agent IA qui orchestre des outils capables d’exécuter des actions au niveau du système d’exploitation augmente fortement le risque de compromission (…), par exemple via des injections de prompt ou des détournements de messages ». Le CERT-FR ajoute qu’il « y a un risque résiduel dans la mesure où l’agent IA pourrait étendre ses capacités de manière autonome, en contournant les règles d’autorisation initiales ».

Des mesures strictes attendues côté DSI et RSSI

Pour les organisations qui utilisent ou envisagent de déployer ces outils, la position du CERT-FR est claire : leur usage doit être « strictement limité à des environnements de tests isolés (bacs-à-sable) sans aucune donnée sensible ». Toute mise en œuvre doit faire l’objet d’une validation préalable des équipes DSI et RSSI. Ainsi, l’organisme préconise de restreindre les droits et outils accessibles à l’agent, d’imposer une validation humaine pour les actions critiques, d’isoler les processus d’exécution (dans des sandboxes) et d’encadrer les interactions par l’intermédiaire de listes blanches.

Ce bulletin intervient alors que l’écosystème des agents IA autonomes se structure à grande vitesse. En mars, NVIDIA a lancé NemoClaw, un ensemble d’outils open source conçu pour ajouter des garde-fous de sécurité à OpenClaw. OpenAI, Microsoft ou encore Google ont déployé des plateformes d’entreprise dédiées aux agents IA et à leur gouvernance. Anthropic a de son côté exclu OpenClaw et les outils tiers de ses abonnements Claude, renforçant son propre écosystème avec Cowork.

Pour les utilisateurs et utilisatrices, la méfiance persiste. Selon le rapport Adobe IA et tendances digitales 2026, seuls 30 % des consommateurs français se disent prêts à interagir avec l’agent IA d’une marque, contre environ 40 % au niveau européen. L’avis du CERT-FR conforte cette prudence en rappelant que, sur le plan technique, les fondations de sécurité ne sont pas encore posées.