La meilleure façon de faire tourner OpenClaw en 2026
OpenClaw est un agent IA open source qui se connecte à vos applications de messagerie et agit en votre nom. Il est passé de 9 000 à plus de 200 000 étoiles GitHub en quelques semaines. Des chercheurs en sécurité ont déjà trouvé plus de 135 000 instances totalement ouvertes sur Internet.
Faire tourner OpenClaw est facile. Le faire tourner correctement est un tout autre problème. Ce guide couvre toutes les options, ce que chacune coûte réellement, et quels compromis comptent.
Ce dont OpenClaw a besoin
Avant de choisir une méthode de déploiement, il est utile de savoir avec quoi vous travaillez.
OpenClaw est une application Node.js qui tourne en tant que processus d’arrière-plan persistant. Il se connecte à un ou plusieurs canaux de messagerie (Telegram, Discord, WhatsApp et autres), achemine les messages vers un LLM et exécute des actions via des skills et des intégrations. La boucle principale est : recevoir un message, réfléchir à l’action appropriée, agir, observer le résultat, recommencer.
Configuration minimale requise :
- 2 vCPU, 2 Go de RAM pour un usage basique
- 4 vCPU, 4-8 Go de RAM pour la production avec automatisation du navigateur
- Une clé API pour au moins un fournisseur de LLM (Anthropic, OpenAI, Google, Fireworks ou tout endpoint compatible OpenAI)
- Un stockage persistant pour les données du workspace, les fichiers mémoire et l’historique des conversations
- Un token de bot pour le canal de messagerie de votre choix
La RAM compte plus que le CPU. Si une instance OpenClaw manque de mémoire, elle ne se dégrade pas progressivement. Elle plante.
Option 1 : L’installer tout simplement
La façon la plus rapide d’essayer OpenClaw. Le one-liner officiel détecte votre OS, installe Node si nécessaire et lance l’assistant de configuration. Ou si vous avez déjà Node 22+ :
npm install -g openclaw@latest
openclaw onboard --install-daemon
L’assistant vous guide à travers les clés API, les tokens de canal et l’authentification gateway. Le flag --install-daemon installe un service d’arrière-plan (launchd sur macOS, systemd sur Linux) pour que OpenClaw continue de tourner après la fermeture du terminal.
C’est ainsi que la plupart des gens commencent. Pas de Docker, pas de serveurs, pas de fichiers de configuration. Vous discutez avec votre agent en quelques minutes.
L’inconvénient est le même que pour tout ce qui tourne sur votre machine quotidienne. Votre agent s’arrête quand votre ordinateur portable se met en veille ou redémarre. OpenClaw a un accès shell par conception, il peut donc accéder à tout ce que votre compte utilisateur peut atteindre. Et il n’y a pas d’isolation réseau entre votre agent et le reste de votre système.
Adapté pour : Essayer OpenClaw, comprendre comment il fonctionne, expériences courtes.
Pas adapté pour : Tout ce que vous voulez faire tourner quand vous ne surveillez pas activement.
Coût : 0 € (plus les coûts d’API LLM).
Option 2 : Docker
Docker ajoute une couche d’isolation. OpenClaw tourne dans un conteneur avec son propre système de fichiers, et vous contrôlez exactement quels répertoires et ports il peut accéder. L’image Docker officielle fonctionne sur toute machine avec Docker installé.
C’est mieux qu’une installation directe pour la sécurité. L’agent ne peut pas accéder à vos profils de navigateur, clés SSH ou fichiers système à moins que vous ne les montiez explicitement. Mais il tourne toujours sur votre machine, donc la disponibilité dépend de votre ordinateur portable qui reste ouvert et de Docker Desktop qui ne décide pas de se mettre à jour.
Adapté pour : Développement local avec une meilleure isolation, test de configurations avant déploiement.
Pas adapté pour : Les agents toujours actifs. Mêmes limitations de disponibilité que l’Option 1.
Coût : 0 € (plus les coûts d’API LLM).
Option 3 : Matériel dédié
Le Mac Mini comme serveur OpenClaw toujours actif est devenu un setup populaire. L’Apple Silicon consomme peu d’énergie (moins de 10W en veille), fonctionne silencieusement, et macOS gère bien le mode veille/réveil pour un fonctionnement headless. L’architecture mémoire unifiée est également un atout si vous souhaitez faire tourner des modèles locaux via Ollama en parallèle d’OpenClaw.
Configurations recommandées :
- Mac Mini M2 (8 Go) fonctionne bien pour les modèles cloud uniquement (Anthropic, OpenAI, Google)
- Mac Mini M4 (16-32 Go) si vous souhaitez faire tourner des modèles locaux (7B-34B paramètres) en parallèle d’OpenClaw
- Un adaptateur HDMI factice (8-10 €) est recommandé pour le fonctionnement headless. Sans celui-ci, macOS peut perturber les permissions d’enregistrement d’écran et le rendu GUI.
La même approche fonctionne avec tout PC compact ou serveur domestique. Le Mac Mini atteint simplement un point d’équilibre optimal entre efficacité énergétique, silence et intégration iMessage qu’aucune machine Linux n’offre.
Le compromis est que vous conservez toutes les responsabilités de sécurité et de maintenance. C’est vous qui appliquez les correctifs, vous qui surveillez, vous qui sauvegardez.
Adapté pour : Les personnes qui veulent un agent dédié toujours actif qu’elles contrôlent physiquement, l’intégration iMessage, l’inférence de modèles locaux.
Pas adapté pour : Les personnes qui ne veulent pas maintenir une machine supplémentaire. Pas idéal non plus si vous avez besoin d’un accès distant depuis l’extérieur de votre réseau domestique sans outils supplémentaires (Tailscale, Cloudflare Tunnel, etc.).
Coût : 500-800 € en une fois pour le matériel, plus l’électricité (~2-5 €/mois), plus les coûts d’API LLM.
Option 4 : VPS
Louez un VPS chez DigitalOcean, Hetzner, Contabo ou Hostinger. Installez OpenClaw directement ou téléchargez l’image Docker. Configurez vos clés API et vos canaux. Mettez en place un service systemd ou une politique de redémarrage Docker pour le maintenir en fonctionnement.
Ça fonctionne. Des milliers de personnes font tourner OpenClaw de cette façon. Mais cela vient avec une liste de responsabilités qui s’allonge avec le temps.
Ce que vous devez gérer vous-même :
- TLS et reverse proxy. Si vous voulez accéder à l’interface web d’OpenClaw à distance, vous avez besoin d’un domaine, d’un reverse proxy (nginx ou Caddy) et de certificats SSL. Let’s Encrypt est gratuit mais nécessite une configuration correcte du renouvellement automatique. Un proxy mal configuré est la raison pour laquelle la plupart de ces 135 000 instances exposées se sont retrouvées en ligne.
- Authentification. OpenClaw est livré avec l’authentification désactivée par défaut. Si vous exposez le port 18789 sans ajouter d’authentification, n’importe qui peut accéder à votre agent, et à tout ce à quoi il a accès.
- Correctifs de sécurité. OpenClaw a eu six vulnérabilités en une seule divulgation début février 2026, dont CVE-2026-25253 (exécution de code à distance en un clic, CVSS 8.8). Chaque correctif implique de télécharger la nouvelle image, de la tester et de redémarrer votre conteneur. Manquez-en un et vous êtes exposé.
- Monitoring. Pas de vérifications de santé intégrées. Si votre agent plante à 3 h du matin, vous le découvrez quand vous remarquez qu’il ne répond plus.
- Sauvegardes. Pas de système de sauvegarde intégré. Le répertoire workspace (
~/.openclaw) contient la mémoire, les skills et la configuration de votre agent. Perdez-le et votre agent repart de zéro. - Contrôle des coûts. C’est ce que beaucoup apprennent à leurs dépens. Une boucle d’agent mal configurée peut envoyer des centaines d’appels API par minute. Des membres de la communauté ont signalé des factures nocturnes de 200 dollars ou plus causées par des boucles incontrôlées. Il n’y a aucune protection intégrée.
Adapté pour : Les personnes à l’aise avec l’administration Linux, qui veulent un contrôle total et sont prêtes à investir le temps de maintenance continu.
Pas adapté pour : Les personnes qui veulent simplement un agent fonctionnel sans le travail d’exploitation.
Coût : 5-24 €/mois pour le VPS, plus 20-80 €/mois en coûts d’API LLM, plus votre temps (estimé 2-8 heures d’installation initiale, 1-4 heures par mois en continu).
Option 5 : Kubernetes
Si vous faites tourner plusieurs agents, avez besoin d’une forte isolation entre eux, ou voulez une véritable infrastructure de production, Kubernetes est l’outil adapté.
Kubernetes vous offre tout ce qu’un VPS ne fournit pas : redémarrages automatiques, limites de ressources, isolation réseau, mises à jour progressives, sondes de santé et planification. Le compromis est la complexité. Mettre en place un cluster Kubernetes de zéro est un investissement significatif, et en gérer un est une compétence à part entière.
Nous avons publié en open source un opérateur Kubernetes spécifiquement pour OpenClaw. Il transforme un seul fichier YAML en un déploiement entièrement sécurisé : StatefulSet, NetworkPolicy, ServiceAccount, PVC, PDB, ConfigMap, sondes de santé, authentification gateway et réconciliation de dérive. Chaque agent tourne en UID 1000, toutes les capabilities Linux sont supprimées, seccomp est activé, le système de fichiers racine est en lecture seule, et l’egress est refusé par défaut.
J’ai écrit un guide de déploiement complet si vous souhaitez suivre cette voie.
Adapté pour : Les équipes, les configurations multi-agents, les personnes qui disposent déjà d’un cluster Kubernetes, et quiconque a besoin de fortes garanties de sécurité.
Pas adapté pour : Les personnes peu familières avec Kubernetes. La courbe d’apprentissage est réelle, et déboguer un pod en échec est plus difficile que déboguer un conteneur Docker.
Coût : Dépend de votre cluster. Un setup k3s minimal sur un seul VPS commence à environ 15 €/mois. Un véritable cluster multi-nœuds chez un fournisseur cloud coûte 50-200 €/mois avant les coûts d’API.
Option 6 : Hébergement managé
L’hébergement managé signifie que quelqu’un d’autre gère l’infrastructure, la sécurité, les mises à jour, le monitoring et la disponibilité. Vous vous inscrivez, connectez un canal, et votre agent est en ligne. Pas de serveurs à gérer, pas de correctifs à appliquer, pas de plantages à 3 h du matin à déboguer.
Plusieurs services d’hébergement OpenClaw managé ont été lancés depuis janvier 2026, avec des prix allant d’environ 18 à 49 €/mois.
Nous avons construit OpenClaw.rocks parce que nous pensons que la charge de sécurité et d’exploitation du self-hosting est le plus grand obstacle à l’adoption d’OpenClaw. Je suis biaisé ici, évidemment. Mais je pense aussi que la comparaison doit être honnête.
Ce que vous perdez avec l’hébergement managé :
- L’accès root complet au système sous-jacent
- La possibilité d’effectuer des modifications arbitraires au niveau système
- Le prix le plus bas possible (un VPS à 5 € est moins cher que tout service managé)
Ce que vous gagnez :
- Pas de correctifs de sécurité. Quand une CVE sort, le fournisseur d’hébergement s’en occupe.
- Pas de configuration de monitoring. Les vérifications de santé, les redémarrages et les alertes sont intégrés.
- Pas de configuration TLS. HTTPS fonctionne immédiatement.
- Pas de problèmes d’authentification. Le contrôle d’accès est géré.
- Mises à jour sans interruption. Les nouvelles versions d’OpenClaw sont déployées automatiquement.
Adapté pour : Quiconque veut un agent fonctionnel sans le travail d’infrastructure. Également adapté pour les personnes qui ont essayé le self-hosting et se sont lassées de le maintenir.
Pas adapté pour : Les personnes qui ont besoin d’un contrôle total au niveau système ou qui veulent dépenser le strict minimum.
Coût : 18-49 €/mois selon le fournisseur, plus les coûts d’API LLM (sauf si inclus dans le forfait).
La question de la sécurité
Ce sujet mérite sa propre section car c’est le facteur le plus important dans le choix de la manière de faire tourner OpenClaw.
OpenClaw a été conçu pour tourner sur localhost. Le modèle de sécurité supposait que vous y accéderiez depuis la même machine. Puis il est devenu viral, et des centaines de milliers de personnes l’ont exposé sur Internet.
Les chiffres sont éloquents :
- 42 665 instances exposées trouvées par des chercheurs en sécurité
- 93,4 % présentaient des conditions de contournement d’authentification
- Six vulnérabilités en une seule divulgation, dont une RCE critique
- 1 184 skills malveillants identifiés dans ClawHub (exfiltration de données, vol de clés SSH, chiffrement de portefeuilles crypto)
- Avertissements gouvernementaux de Belgique et de Chine
- Pas de programme de bug bounty ni d’équipe de sécurité dédiée en février 2026
Une instance OpenClaw non sécurisée n’est pas seulement une fuite de données. C’est un proxy qui peut agir en votre nom : envoyer des messages, accéder à vos comptes, dépenser votre argent et exécuter du code sur votre serveur.
Si vous hébergez vous-même, vous devez prendre la sécurité au sérieux : activer l’authentification, mettre en place un reverse proxy avec TLS, restreindre l’accès réseau, maintenir l’image à jour et auditer tous les skills tiers avant de les installer. Le guide de durcissement Adversa AI est un bon point de départ. Nous avons écrit une analyse complète de la crise de sécurité OpenClaw avec une checklist pratique et une explication de pourquoi les tokens gateway statiques ne suffisent pas.
Si vous utilisez l’hébergement managé, ce sont les problèmes de quelqu’un d’autre. C’est la proposition de valeur fondamentale.
Comparaison des coûts
Voici une ventilation réaliste pour faire tourner un seul agent OpenClaw toujours actif :
| Matériel dédié | Self-hosted (VPS/K8s) | Hébergement managé | |
|---|---|---|---|
| Infrastructure | 500-800 € une fois | 5-200 €/mois | 18-49 €/mois |
| Coûts API LLM | 20-80 €/mois | 20-80 €/mois | 20-80 €/mois (ou inclus) |
| Domaine + TLS | N/A (local) | ~1 €/mois | Inclus |
| Temps d’installation | 1-3 heures | 2-20 heures | Minutes |
| Maintenance continue | 1-2 h/mois | 1-6 h/mois | Aucune |
| Correctifs de sécurité | Manuel | Manuel | Automatique |
L’investissement en temps est le coût caché. Chaque heure passée à déboguer un problème de réseau Docker, à renouveler un certificat SSL ou à appliquer un correctif de sécurité est une heure que vous pourriez consacrer à autre chose. Pour certains, ce bricolage est justement l’intérêt. Pour d’autres, c’est une charge.
Quelle option vous convient ?
Il n’y a pas de « meilleure façon » unique. Cela dépend de ce que vous valorisez.
Vous voulez juste essayer OpenClaw ? Installez-le sur votre machine avec le one-liner. Zéro coût, zéro engagement. Vous saurez en une heure si c’est utile pour vous.
Vous voulez un setup dédié toujours actif que vous contrôlez physiquement ? Un Mac Mini ou un serveur domestique vous y amènera. Ajoutez Docker pour l’isolation si vous voulez un filet de sécurité entre OpenClaw et le reste de votre système.
Vous voulez un contrôle total sur une infrastructure distante ? Hébergez vous-même sur un VPS. Utilisez notre guide de déploiement Kubernetes si vous voulez une isolation appropriée et des paramètres de sécurité par défaut. Dans tous les cas, lisez les guides de durcissement de sécurité avant d’exposer quoi que ce soit sur Internet.
Vous voulez un agent qui fonctionne tout simplement, reste en ligne et reste sécurisé ? Utilisez l’hébergement managé. OpenClaw.rocks vous fait passer de zéro à un agent fonctionnel en moins d’une minute, avec la sécurité gérée, les mises à jour automatisées et le tout sur une infrastructure EU.
La meilleure façon de faire tourner OpenClaw est celle qui vous permet de vous concentrer sur ce que l’agent fait réellement pour vous, plutôt que sur la façon dont il tourne.
Prêt à essayer ? Commencez sur OpenClaw.rocks ou explorez l’opérateur Kubernetes open source si vous préférez gérer votre propre infrastructure.