OpenClaw a déclenché une crise de sécurité et deux frameworks concurrents. IronClaw apporte l’isolation basée sur Rust et zéro télémétrie ; NemoClaw enveloppe OpenClaw dans le sandbox au niveau du kernel d’NVIDIA. Voici comment ils se comparent.
L’écosystème « claw » est passé du projet personnel de Peter Steinberger à un véritable champ de bataille d’entreprise en seulement environ quatre mois. OpenClaw a été lancé en novembre 2025, est devenu le référentiel le plus en croissance rapide de l’histoire de GitHub , a attiré des centaines de milliers d’utilisateurs et a fait embaucher son créateur par OpenAI.
Il n’a pas fallu longtemps avant que cette popularité initiale déclenche deux nouveaux frameworks majeurs concurrents — IronClaw de NEAR AI et NemoClaw de NVIDIA. Les deux ont été lancés en quelques semaines l’un après l’autre. Si vous essayez de déterminer lequel appartient à votre pile et pourquoi, voici ce que vous devez réellement savoir.
OpenClaw est un framework d’agent IA open-source construit autour de l’idée simple de donner à un modèle de langage une mémoire persistante, l’accès à vos outils et services, et lui permettre d’opérer de manière autonome. Il se connecte aux applications et services de messagerie populaires, peut coder, exécuter des commandes, gérer vos fichiers, parcourir le web et bien plus. Pour commencer à travailler, il n’a besoin que d’un seul message conversationnel.
Créé par le développeur autrichien Peter Steinberger comme un projet d’une heure pour combattre l’épuisement professionnel appelé Clawdbot en novembre 2025 (plus tard rebaptisé Moltbot, puis OpenClaw après la pression des marques d’Anthropic ), le projet a dépassé 215 000 étoiles GitHub en février 2026. Il a attiré deux millions de visiteurs en une seule semaine, et la communauté de développeurs a commencé à appeler les déploiements simplement « élever des homards ».
Architecturalement, OpenClaw s’exécute en tant que serveur Node.js local. Il utilise des Skills comme les blocs de construction modulaires qui définissent ce que l’agent peut faire. Les Skills sont des plugins JavaScript ou TypeScript qui s’exécutent avec un accès complet à l’environnement hôte. L’agent maintient une mémoire persistante entre les sessions via un magasin de vecteurs local, et l’orchestration multi-agents est possible grâce aux appels de skills imbriqués.
L’accès aux outils est géré via les serveurs MCP, ce qui rend l’intégration avec les services tiers simple. Mais cela signifie également que tout serveur MCP que vous connectez hérite de l’ensemble des permissions de l’agent, et c’est exactement le cœur du problème.
Le modèle de permission d’OpenClaw est plat : il n’y a pas de scoping des capacités, pas de sandbox par skill, et pas de distinction entre l’accès en lecture et en écriture aux services connectés. Un skill qui a besoin de lire votre calendrier obtient le même accès aux identifiants qu’un skill qui peut envoyer un email en votre nom. Lorsqu’un skill est chargé depuis ClawHub, il s’exécute avec ces mêmes permissions immédiatement.
Les chercheurs en sécurité qui scannent Internet ont trouvé plus de 30 000 instances OpenClaw exposées publiquement, beaucoup fonctionnant sans aucune authentification. Même à l’époque où c’était encore appelé Clawdbot, un audit Kaspersky du projet a identifié 512 vulnérabilités au total, dont huit critiques.
CVE-2026-25253 , divulguée en février 2026, a permis l’exécution de code à distance en un clic via le vol de jetons WebSocket et a affecté plus de 17 500 instances exposées sur Internet. La campagne ClawHavoc, documentée par Koi Security, a trouvé 341 skills malveillants dans ClawHub, le registre de plugins d’OpenClaw, ce qui représente environ 12 % de l’ensemble du marché ! Les scans mis à jour ont ensuite poussé ce nombre au-dessus de 800.
Le problème structurel est architectural : OpenClaw donne aux modèles de langage un accès direct au système de fichiers, aux applications de messagerie et aux services web. Lorsqu’un skill malveillant est chargé — ou lorsque l’injection de prompt trompe l’agent pour qu’il exécute quelque chose qu’il ne devrait pas, il hérite de toutes ces permissions. Steinberger lui-même a reconnu que « réaliser une sécurité complète avec les grands modèles de langage est inatteignable » et a souligné que l’outil était destiné aux individus ayant les connaissances techniques pour gérer ces risques.
OpenAI a embauché Steinberger en février 2026. Le projet a transitionné vers une fondation indépendante avec le soutien financier et technique d’OpenAI. La plupart des CVE connus ont été corrigés dans les versions récentes, mais le consensus communautaire est que la tension architecturale entre l’utilité et la sécurité n’a pas été résolue.
OpenClaw reste un excellent choix pour les utilisateurs avancés, les passionnés et les développeurs qui veulent une flexibilité maximale tout en comprenant les implications. Mais en raison des problèmes de sécurité, c’est un mauvais choix pour les cas d’usage d’entreprise à grande échelle ou l’utilisation avec des données hautement sensibles. Ce sont exactement ces problèmes qui ont incité à la création d’IronClaw et NemoClaw.
Commencez votre essai gratuit aujourd'hui et voyez les résultats en quelques jours.
IronClaw, développé par NEAR AI et annoncé au début de 2026, est un runtime d’agent inspiré par OpenClaw, reconstruit de zéro en Rust avec la sécurité comme contrainte de conception primaire. Son co-fondateur Illia Polosukhin l’a décrit comme « un harnais d’agents conçu pour la sécurité ».
L’utilisation de Rust élimine des classes entières de vulnérabilités au moment de la compilation — débordements de tampon, erreurs use-after-free et autres problèmes de sécurité de la mémoire. Pour un système orchestrant des dizaines d’appels d’outils concurrents et traitant de grands documents en boucle, ces propriétés importent en production.
L’architecture de sécurité centrale d’IronClaw est construite autour de trois mécanismes :
Chaque couche de sécurité est isolée des autres. Compromettre une ne compromet pas automatiquement la suivante. IronClaw inclut également iron-verify, un outil d’analyse statique pour les skills qui vérifie les injections SQL, les injections de commande, les modèles de traversée de répertoire et les demandes excessives de capacités. Lors des tests documentés par ibl.ai
, il a signalé 23 des 25 skills problématiques. La surcharge est d’environ 15 ms par invocation de skill — négligeable pour la plupart des workflows.
IronClaw se déploie sur NEAR AI Cloud à l’intérieur d’un Trusted Execution Environment (TEE), fournissant le chiffrement soutenu par le matériel dès le départ sans configuration supplémentaire. Il supporte également l’auto-hébergement local pour les utilisateurs qui veulent que les données restent entièrement sur site. Toutes les données sont stockées dans une base de données PostgreSQL locale avec chiffrement AES-256-GCM, avec zéro télémétrie.
Au-delà de la sécurité, IronClaw est un framework d’agent fonctionnel avec support multi-canaux (REPL, webhooks, Telegram, Slack, navigateur), routines programmées par cron, déclencheurs d’événements, gestion des travaux parallèles, recherche hybride texte intégral et vectorielle pour la mémoire persistante, et support du protocole MCP. Il supporte NEAR AI, OpenAI, Anthropic, Gemini, Mistral et les backends compatibles OpenAI.
Le projet a été lancé avec un niveau Starter gratuit incluant une instance d’agent hébergée sur NEAR AI Cloud, avec des niveaux payants pour les agents supplémentaires.
La sécurité ajoutée fait d’IronClaw une excellente alternative adaptée aux utilisateurs et organisations pour lesquels la confidentialité des données est non négociable. IronClaw est également significatif pour les utilisateurs avancés qui veulent le plafond de capacité d’OpenClaw mais sans faire confiance à leurs identifiants de production à un agent qui peut être manipulé.
NemoClaw n’est pas un framework autonome. C’est une pile de sécurité et de gouvernance open-source qui enveloppe OpenClaw. Elle a été annoncée par Jensen Huang au GTC 2026 le 16 mars , avec un positionnement que peu dans la salle auraient pu manquer. Huang a comparé OpenClaw à Windows et Linux : « OpenClaw est le système d’exploitation pour l’IA personnelle. » NemoClaw est la coque de titane.
NemoClaw s’installe via une seule commande en tant que plugin TypeScript pour la CLI OpenClaw aux côtés d’un blueprint Python qui orchestre le runtime OpenShell d’NVIDIA. OpenShell fournit un sandbox au niveau du kernel utilisant les modules de sécurité Linux qui s’assoient entre l’agent et le système d’exploitation.
Le modèle de sécurité est inversé par rapport aux défauts d’OpenClaw. Où OpenClaw est permissif à moins que vous le restreigniez explicitement, OpenShell bloque tout à moins que cela soit explicitement autorisé. Les politiques sont écrites en YAML, permettant aux organisations de définir :
Les actions bloquées s’affichent dans une interface utilisateur de terminal pour examen humain plutôt que d’échouer silencieusement. Le moteur de politique s’exécute hors processus, ce qui signifie que l’agent ne peut pas le contourner en manipulant sa propre configuration.
NemoClaw inclut également un routeur de confidentialité qui route les requêtes complexes vers les modèles de frontier basés sur le cloud tout en gardant les données sensibles locales sur les modèles Nemotron. La famille Nemotron 3, optimisée pour les workloads d’agents et dotée d’une architecture hybride Mamba-Transformer, devient le backend d’inférence local par défaut.
NemoClaw est avant tout une entreprise d’entreprise, avec des partenariats avec Salesforce, Cisco, Google, Adobe et CrowdStrike annoncés. Le projet avait déjà plus de 9 000 étoiles GitHub quelques jours après son lancement.
Annoncé il y a moins d’un mois (au moment de la rédaction de cet article), NemoClaw est toujours une préversion alpha. Les interfaces et le comportement peuvent changer sans préavis, et l’inférence locale reste expérimentale sur certaines plates-formes. Plus important encore, le processus de durcissement est toujours en cours, car moins d’une semaine après le lancement, un chercheur en cybersécurité a identifié un contournement de configuration.
Les analystes de Futurum Research ont noté que NemoClaw répond bien à l’extrémité du déploiement de la chaîne de confiance de l’agent, mais ont soutenu que la sécurité doit être intégrée tout au long du cycle de vie du développement, pas seulement à la couche d’exécution.
Il y a aussi un modèle commercial à lire ici. Par défaut, NemoClaw achemine les demandes d’inférence via le point de terminaison cloud d’NVIDIA. Vous pouvez configurer les modèles Nemotron locaux pour un déploiement entièrement sur site, mais le chemin par défaut crée une dépendance sur l’infrastructure d’NVIDIA. Que ce soit un problème ou une fonctionnalité dépend de votre modèle de menace.
NemoClaw cherche à se positionner comme une alternative pour les organisations qui veulent les capacités d’OpenClaw avec un modèle d’application de politique que leurs équipes de conformité et juridiques peuvent examiner et approuver.
Recevez gratuitement les derniers conseils, tendances et offres.
IronClaw et NemoClaw se disputent la position de l’option la plus sûre, mais la vérité est que ces trois systèmes peuvent causer des problèmes si vous leur donnez les mauvais outils. La différence réside dans la quantité de dégâts structurellement possibles et la quantité qui nécessite une erreur active de votre part.
OpenClaw donne à l’agent un accès complet à tout sur votre machine. Vous n’avez probablement pas un inventaire complet de ce qui est installé et accessible sur un ordinateur que vous utilisez depuis des années. C’est bien pour les passionnés et les développeurs qui savent ce qu’ils font. C’est un risque réel pour tous les autres.
NemoClaw construit une cage de qualité autour de cet animal dangereux. La protection vit à la couche infrastructure — le sandbox au niveau du kernel d’OpenShell, l’application des politiques et le modèle par défaut refusée. Le soutien d’NVIDIA en fait le plus susceptible d’atteindre la stabilité de production et l’adoption généralisée. L’argent est sur celui-ci sur le marché d’entreprise, mais le routage cloud par défaut sont des choses à surveiller.
IronClaw a probablement l’architecture de sécurité la plus sophistiquée des trois : runtime sécurisé en mémoire en Rust, isolation WASM par outil, injection sécurisée d’identifiants, détection d’injection de prompt et défenses en couches où compromettre une couche ne cascade pas vers la suivante. C’est aussi le plus catégorique sur la souveraineté des données — zéro télémétrie, stockage local, hébergement cloud soutenu par TEE. Pour les cas d’usage où les données ne peuvent simplement pas quitter l’infrastructure de l’organisation, c’est le seul framework ici qui rend cela structurellement vrai plutôt qu’une configuration que vous devez maintenir.
Aucun de ces ne résout complètement l’injection de prompt. C’est un problème ouvert à l’échelle de l’industrie, et tout fournisseur affirmant le contraire exagère le cas.
L’encadrement de « qui gagne » est un peu une fausse question. OpenClaw et sa communauté incroyable restent le centre de gravité de l’écosystème. NemoClaw et IronClaw répondent tous deux aux limitations d’OpenClaw, mais avec des philosophies différentes.
Le chemin de NemoClaw vers la domination est le plus évident. NVIDIA a les relations d’entreprise, la distribution, l’écosystème matériel pour rendre l’adoption sans friction pour les grandes organisations. Le pari que Huang a encadré — chaque entreprise a besoin d’une stratégie OpenClaw de la même façon que chaque entreprise avait autrefois besoin d’une stratégie Linux, est probablement correct, et NemoClaw est positionnée pour être la réponse par défaut à cette question dans les environnements d’entreprise.
La proposition de valeur d’IronClaw est plus spécifique et plus durable dans les industries réglementées. C’est le seul framework où la confidentialité des données est appliquée architecturalement plutôt que par politique. La sécurité de la mémoire basée sur Rust et l’isolation des outils WASM sont des propriétés du runtime, pas des configurations qu’un administrateur a oublié de définir. Pour les cas d’usage juridiques, de santé et financiers opérant selon les cadres RGPD, HIPAA ou similaires, cette distinction a une véritable valeur de conformité.
OpenClaw lui-même ne disparaît pas. Peter Steinberger peut être chez OpenAI maintenant, mais la structure de fondation garde le projet indépendant et communautaire, et ses capacités restent inégalées pour les utilisateurs avancés individuels disposés à gérer la surface de sécurité eux-mêmes.
La question la plus intéressante n’est pas quelle griffe survit, c’est à quelle vitesse NemoClaw se développe à partir de l’alpha et si son approche au niveau du kernel peut suivre le rythme de la surface d’attaque continuellement croissante qui vient avec les agents auto-évolutifs. Compte tenu des antécédents d’NVIDIA en matière de transformation des paris logiciels en normes d’infrastructure, l’argent intelligent est qu’elle y arrive.
Cet article a été mis à jour pour la dernière fois en mars 2026. L’écosystème claw évolue rapidement — les délais des CVE et la disponibilité des fonctionnalités peuvent avoir changé.
Maria est rédactrice chez FlowHunt. Passionnée de langues et active dans les communautés littéraires, elle est pleinement consciente que l'IA transforme notre façon d'écrire. Plutôt que de résister, elle cherche à aider à définir l'équilibre parfait entre les flux de travail de l'IA et la valeur irremplaçable de la créativité humaine.
Connectez votre agent basé sur Claw à FlowHunt et automatisez des workflows complexes, du traitement des données aux pipelines IA multi-étapes.
Découvrez le saut d’OpenAI dans le matériel IA grâce à l’acquisition de io, la société de Jony Ive, pour 6,5 milliards de dollars, ouvrant la voie à des apparei...
Découvrez les frameworks multi-agents Crew.ai et Langchain. Crew.ai excelle dans la collaboration et la division des tâches, idéal pour les simulations complexe...
Découvrez comment AMP, l’agent de codage de pointe de Sourcegraph, façonne le paysage du développement IA grâce à l’itération rapide, au raisonnement autonome e...
