Un lien reçu, une page qui s’ouvre, et une connexion réseau part sans signal visible. Dans certaines versions de ClawDBot, cette séquence suffit à exposer un token d’authentification sensible. Le problème apparaît dès l’affichage de l’interface, sans interaction supplémentaire, à partir d’un simple paramètre présent dans l’URL.
Un paramètre d’URL interprété tel quel au chargement
Dans les versions de ClawDBot jusqu’à v2026.1.28, l’interface Control UI lit directement le paramètre gatewayUrl depuis la query string. Aucune vérification n’est appliquée avant son utilisation, et aucune information n’est affichée à l’utilisateur. Dès que la page se charge, une connexion WebSocket est automatiquement initiée vers l’URL indiquée.
Ce comportement se produit sans clic, sans bouton et sans message intermédiaire.
Le token d’authentification transmis dans la connexion WebSocket
Au moment où la connexion WebSocket s’établit, le token d’authentification du gateway, déjà stocké dans l’interface Control UI, est inclus dans les données envoyées. Si le gatewayUrl pointe vers une infrastructure contrôlée par un tiers, ce token est transmis vers cet endpoint externe.
L’utilisateur ne voit aucun écran de validation ni alerte de sécurité pendant ce processus. La connexion est déclenchée automatiquement par le chargement de la page, et le contenu du payload n’est pas affiché dans l’interface.
La fuite repose uniquement sur ce mécanisme d’initialisation. Aucune action supplémentaire n’est requise après l’ouverture du lien, et le navigateur envoie les informations dès que la connexion WebSocket est établie.
Un lien piégé suffit à déclencher l’exfiltration
L’exploitation passe par un lien forgé intégrant un gatewayUrl contrôlé par l’attaquant. Ce lien peut être partagé directement ou intégré à un site de phishing. Si un utilisateur déjà authentifié à l’interface Control UI visite cette URL, son navigateur initie la connexion sortante.
Le token est alors exfiltré automatiquement, sans demande de confirmation et sans avertissement visible.
Des modifications complètes possibles après récupération du token
Une fois le token compromis, l’attaquant obtient un accès de niveau opérateur à l’API du gateway. Cet accès permet de modifier la configuration, notamment les paramètres de sandbox et les politiques des outils. Ces changements peuvent mener à une compromission complète du gateway et à l’exécution de code à distance sur le système hôte.
Une exposition qui persiste même avec une écoute limitée à localhost
La vulnérabilité reste exploitable lorsque le gateway est configuré pour écouter uniquement sur localhost. La connexion sortante est initiée par le navigateur de l’utilisateur, ce qui contourne l’isolation réseau côté serveur. Des déploiements internes ou isolés restent donc exposés si des liens externes sont ouverts pendant une session active.
Une mise à jour qui bloque les connexions automatiques non validées
La version v2026.1.29 de ClawDBot introduit une confirmation obligatoire avant toute connexion à une nouvelle URL de gateway dans l’interface. Le token n’est plus transmis automatiquement vers un endpoint non validé, et la connexion ne s’établit qu’après une approbation explicite de l’utilisateur.
Je m’appelle Samuel Le Goff. À 38 ans, je suis l’actualité du numérique depuis plus de 14 ans. Aujourd’hui, je m’intéresse particulièrement aux smartphones et aux usages concrets de l’intelligence artificielle, que je traite à travers des contenus clairs et accessibles sur Menow.fr.
