La blague du homard, ce n’est pas le crustacé, c’est le truc qui s’installe sur ta machine sans demander ton avis. Un hacker s’est amusé à détourner un outil de codage IA populaire pour balancer OpenClaw – l’agent open-source qui « fait vraiment des trucs » – sur un paquet d’ordinateurs. Sauf que derrière le gag, c’est une démonstration en live de ce qui nous pend au nez quand on laisse des logiciels autonomes fouiner dans nos systèmes. Le mec a juste exploité une faille connue, et paf, OpenClaw partout. C’est le genre de proof-of-concept qui donne des sueurs froides à n’importe quel admin sys.
Et pendant ce temps, dans le coin sérieux, Anthropic vient de dégainer un rapport où ils annoncent avoir trouvé 500 zero-days dans du software abandonné. 500. Cinq. Cent. Des failles de sécurité critiques, dormant dans des vieux bouts de code que plus personne ne maintient. Tu mets ça entre les mains d’un agent IA un peu trop curieux, et c’est la porte ouverte à tous les délires. Anthropic, toujours prêt à sonner l’alarme tout en continuant à produire les outils qui pourraient justement exploiter ces failles. Le dealer qui te vend la came et t’offre un livre sur les risques de l’overdose.
Le vrai problème, c’est que ces deux histoires se rejoignent comme les deux mâchoires d’une pince. Tu as des agents IA de plus en plus capables d’agir de manière autonome – installer des trucs, fouiller des systèmes, exécuter des scripts. Et tu as un paysage logiciel truffé de failles, avec des zero-days qui traînent comme des bonbons empoisonnés. Personne pour les ramasser. Qui répare les trous que l’IA trouve dans des logiciels abandonnés ? Personne. Ou alors, c’est l’IA elle-même qui va s’en charger, et on sait tous comment ça va finir.
OpenClaw, dans cette histoire, c’est juste le symptôme. Un agent open-source, relativement bénin, utilisé pour un coup d’éclat. Mais imagine la même manœuvre avec un agent malveillant, optimisé pour exploiter une de ces 500 zero-days. Tu te réveilles un matin, ton serveur est en PLS, tes données sont chiffrées, et le seul message c’est un emoji de homard. Trop marrant.
Les boîtes comme Anthropic sont coincées dans leur propre narratif. Ils publient des rapports alarmistes sur la sécurité, mais continuent à pousser des modèles de plus en plus puissants, de plus en plus autonomes. C’est le safety-washing version 2026 : on te montre le problème, mais on vend aussi la solution… qui pourrait bien aggraver le problème. Dario Amodei écrit des essais sur l’apocalypse pendant que ses ingénieurs entraînent des modèles à trouver des failles à la vitesse de l’éclair. Le grand écart permanent, c’est devenu un business model.
On continue à installer des outils IA parce que c’est pratique, parce que ça booste la productivité, parce que tout le monde le fait. On ferme les yeux sur les risques, on se dit que ça n’arrive qu’aux autres. Jusqu’au jour où le homard frappe à ta porte.
La sécurité des agents IA, c’est pas un problème technique, c’est un problème systémique. On construit des outils de plus en plus autonomes, on les lâche dans un environnement numérique pourri de failles, et on espère que tout va bien se passer. Non, bien sûr. L’incident OpenClaw, c’est un avertissement. Les 500 zero-days d’Anthropic, c’est la carte des mines. À toi de voir si tu veux continuer à danser dessus.
Sources :
Comments are closed