OpenClaw est un outil d’automatisation et d’indexation puissant. Comme tout service capable d’exécuter des commandes et de traiter du contenu externe, il doit être correctement sécurisé. C’est particulièrement important si vous installez OpenClaw manuellement sur un VPS : des réglages par défaut trop permissifs peuvent exposer votre serveur à des risques importants.
Si vous déployez OpenClaw via le catalogue Docker de Hostinger, certaines mesures de sécurité essentielles sont automatiquement appliquées (comme l’attribution d’un port aléatoire et l’activation de l’authentification de la passerelle). Toutefois, pour un environnement de production, vous devez encore ajouter plusieurs protections.
Ce guide passe en revue les risques de sécurité les plus courants liés à OpenClaw et les bonnes pratiques pour les réduire.
Ce que Hostinger sécurise par défaut via le catalogue Docker
Quand OpenClaw est déployé via le catalogue Docker de Hostinger, des mesures de sécurité essentielles sont déjà en place :
La passerelle OpenClaw n’est pas exposée sur un port fixe (ou facile à deviner). Cela réduit le risque de scans automatisés et d’attaques par force brute.
L’authentification de la passerelle est activée via un jeton sécurisé gateway.auth.token. Cela empêche tout accès non authentifié à l’API.
C’est un bon point de départ, mais ce n’est pas suffisant pour un usage en production.
Renforcer la sécurité d’OpenClaw : les réglages essentiels
Restreindre la politique des messages directs
Par défaut, la politique des messages directs (DM) peut être trop permissive et autoriser des utilisateurs ou des actions que vous n’aviez pas prévus. Limitez les DM seulement aux utilisateurs, rôles et actions nécessaires. En production, évitez les règles trop larges, comme « Tout autoriser ».
Activer le mode bac à sable
Exécuter OpenClaw sans bac à sable donne davantage de liberté aux commandes et augmente les risques. Activez systématiquement le mode bac à sable et, si vous utilisez Docker, bloquez l’accès au réseau externe pour les tâches isolées (sauf si c’est indispensable à votre usage). Cela limite les risques : une requête malveillante ou compromise ne pourra pas accéder à votre système ni à votre réseau.
Protéger les identifiants et les secrets
Évitez de laisser des identifiants en clair dans des fichiers de configuration : c’est l’une des causes les plus fréquentes de fuite. Stockez plutôt vos jetons, clés API et autres secrets dans des variables d’environnement. Et pour les fichiers sensibles, appliquez des permissions strictes afin qu’ils ne soient lisibles que par le compte qui exécute OpenClaw.
Se protéger contre l’injection de requêtes
OpenClaw peut traiter du contenu web, des messages d’utilisateurs ou d’autres données externes : considérez-les toujours comme non fiables. Isolez clairement ces contenus (par exemple en les marquant comme « Non fiable ») et évitez qu’ils puissent influencer directement l’exécution de commandes ou l’utilisation d’outils.
Bloquer les commandes dangereuses
Certaines commandes ne doivent jamais être disponibles dans OpenClaw. Bloquez clairement les actions destructrices ou irréversibles, comme les suppressions récursives, les push git forcés, le chaînage de commandes dans le shell ou les appels réseau non contrôlés, sauf si c’est indispensable pour votre usage.
Renforcer l’isolation réseau
Si OpenClaw s’exécute dans Docker, placez-le dans un réseau Docker isolé. Évitez de lui donner accès à vos services internes, bases de données ou interfaces d’administration, sauf si c’est indispensable. Cette isolation limite l’impact en cas de compromission d’OpenClaw.
Limiter les autorisations des outils
N’activez que les outils MCP dont OpenClaw a besoin. Donner des droits trop larges (ou trop élevés) augmente les risques et va à l’encontre du principe du moindre privilège. Pensez aussi à revoir régulièrement ces autorisations, surtout si votre configuration évolue.
Activer l’audit et la journalisation des sessions
Sans journaux, il est difficile de repérer un incident et d’en comprendre l’origine. Activez la journalisation des sessions et des actions afin de savoir ce qu’OpenClaw exécute, quand, et qui en est à l’origine.
Sécuriser les codes d’appairage et d’accès
Si OpenClaw utilise des codes d’appairage ou des jetons, utilisez des valeurs aléatoires robustes (générées de façon cryptographiquement sûre) et mettez en place une limitation de débit pour limiter les tentatives de force brute.