Clawdbot, l’assistant IA personnel open source développé par l’Autrichien Peter Steinberger, vient de devenir viral dans la communauté tech. Plus de 10 000 étoiles sur GitHub en quelques jours, des utilisateurs qui se ruent sur les Mac mini pour avoir leur propre « Jarvis » local, et des développeurs qui automatisent des workflows complexes avec de simples commandes conversationnelles. Le genre de success story qui fait rêver l’open source.
Sauf que. Pendant que les early adopters s’extasient sur leur nouvel assistant capable de gérer leurs emails, calendriers et commandes shell, les experts en sécurité tirent la sonnette d’alarme. Parce que donner à une IA un accès complet à votre système, c’est exactement le genre de décision qui peut très mal tourner. On vous rappelle pourquoi.
C’est quoi Clawdbot ?
Clawdbot se distingue radicalement des assistants commerciaux comme Siri, Alexa ou Google Assistant : il fonctionne entièrement sur votre propre matériel (Mac mini, PC Windows, serveur Linux). Le logiciel se connecte aux modèles de langage d’Anthropic ou d’OpenAI, mais toute l’orchestration, la mémoire et les configurations restent stockées localement. Exit le cloud, bonjour la souveraineté sur vos données.
Installation ? Facile !
$ curl -fsSL https://clawd.bot/install.sh | bash
Vous pouvez interagir avec l’assistant via plus d’une douzaine de plateformes de messagerie : WhatsApp, Telegram, Discord, Slack, Signal, iMessage. Les réponses arrivent directement dans le canal que vous utilisez au quotidien. Et contrairement aux chatbots classiques, Clawdbot peut exécuter de vraies tâches d’automatisation : gérer les emails, organiser les calendriers, contrôler les navigateurs, exécuter des commandes shell, et même créer ses propres extensionsquand vous lui demandez de nouvelles fonctionnalités.
L’adoption virale aurait entraîné une hausse des achats de Mac mini, les utilisateurs se précipitant pour acquérir du matériel dédié à leur assistant IA. « Le Clawdfather, @steipete, fait exploser à lui seul les ventes de Mac Mini d’Apple au T1 2026 », plaisantait un développeur sur les réseaux sociaux. Steinberger lui-même a appelé à la modération, précisant que le logiciel fonctionne parfaitement sur des ordinateurs existants ou des serveurs virtuels peu coûteux.
« Chaque document lu est un vecteur d’attaque potentiel »
Les mêmes capacités qui rendent Clawdbot attrayant posent de sérieux problèmes de sécurité. L’accès étendu du système — incluant la capacité d’exécuter des commandes shell arbitraires, de lire et écrire des fichiers, et d’envoyer des messages via des comptes connectés — crée un risque considérable en cas de mauvaise configuration ou de compromission.
Chad Nelson, ancien expert en sécurité américain, avertit que « chaque document, email et page web que Clawdbot lit constitue un vecteur d’attaque potentiel », mettant en garde contre le fait qu’une utilisation généralisée de tels outils « pourrait complètement saper la vie privée et la sécurité personnelles », selon Office Chai.
La vulnérabilité principale ? L’injection de prompts. Cette faille bien documentée dans les systèmes d’IA permet à des instructions malveillantes intégrées dans des documents, emails ou pages web de manipuler le comportement du modèle. La documentation de Clawdbot reconnaît le problème et recommande le modèle Opus 4.5 d’Anthropic en partie pour sa « meilleure résistance à l’injection de prompts ». Mais elle précise clairement qu’« il n’existe pas de configuration parfaitement sécurisée » pour les agents IA dotés d’un accès aux outils.
L’entrepreneur Rahul Sood recommande aux utilisateurs d’exécuter Clawdbot uniquement sur des machines dédiées avec de nouveaux comptes et des identifiants temporaires, en particulier pour ceux qui n’ont pas de formation en programmation. Conseil sage, mais qui réduit drastiquement l’accessibilité de l’outil.
Steinberger, connu pour avoir fondé PSPDFKit avant de vendre l’entreprise à Insight Partners en 2021, a développé Clawdbot sous licence MIT. Le projet comprend des outils d’audit de sécurité intégrés et des modes bac à sable pour les entrées non fiables. Mais au final, le compromis est clair : vous gagnez un assistant IA surpuissant qui automatise tout, au prix d’une surface d’attaque considérable.
Pour les premiers utilisateurs, le risque semble acceptable. Les retours parlent d’eux-mêmes : automatisation de workflows complexes, gestion d’opérations commerciales, extraction de millions de publications sur les réseaux sociaux via de simples commandes conversationnelles. Les observateurs du secteur l’ont qualifié de « premier véritable assistant personnel » et de démonstration de ce que les communautés open source peuvent créer alors que les grandes entreprises tech peinent à offrir des capacités similaires. Reste à savoir combien de temps avant… le premier incident de sécurité majeur.
