Summer Yue dirige la sécurité et l’alignement au Superintelligence Lab de Meta. La semaine dernière, elle a demandé à son assistant OpenClaw de vérifier sa boîte de réception et de suggérer ce qu’il fallait archiver ou supprimer. « N’agis pas tant que je ne te le dis pas », a-t-elle écrit.

L’assistant a supprimé des centaines d’e-mails à la place. Elle a tapé « STOP » dans le chat. Il a continué. Elle a dû physiquement courir jusqu’à son Mac Mini pour arrêter le processus.

« Erreur de débutante, franchement », a-t-elle écrit ensuite. « Il s’avère que les chercheurs en alignement ne sont pas immunisés contre le désalignement. »

L’histoire est devenue virale. Business Insider, 404 Media, TechCrunch et PC Gamer l’ont couverte. Puis un fil sur X intitulé « Vous n’êtes pas censé installer OpenClaw sur votre ordinateur personnel » a atteint Hacker News, et la discussion qui a suivi est devenue véritablement utile.

Car la conclusion n’était pas « OpenClaw est dangereux. » La conclusion était : arrêtez de le faire tourner sur votre machine personnelle.

La configuration était l’erreur

OpenClaw a fait exactement ce pour quoi il est conçu. Il a reçu une tâche, l’a décomposée et l’a exécutée. Il est rapide, méthodique et implacable. C’est pour cela que les gens l’adorent. C’est aussi pour cela que la boîte de Yue a été vidée en secondes plutôt qu’en heures.

Voici ce qui s’est réellement passé : Yue testait OpenClaw sur une petite boîte de test depuis des semaines. Tout fonctionnait bien. Elle a pris confiance et l’a connecté à sa vraie boîte principale. La vraie boîte était considérablement plus grande. Le volume a déclenché un événement de compaction de contexte, un processus où le modèle compresse les messages anciens pour faire de la place aux nouveaux. Pendant la compaction, l’assistant a perdu intégralement son instruction de sécurité initiale.

Sans cette contrainte, OpenClaw s’est orienté vers ce qu’il comprenait comme objectif : nettoyer la boîte. Il a massivement supprimé et archivé des centaines d’e-mails.

L’assistant tournait sur le Mac Mini personnel de Yue. Il avait un accès direct à ses identifiants e-mail. Quand il a dérapé, la seule façon de l’arrêter était d’aller physiquement à la machine et de tuer le processus.

Ce n’est pas un défaut d’OpenClaw. C’est un défaut dans la configuration. N’importe quel outil puissant peut causer des dégâts quand on lui donne un accès illimité aux comptes les plus sensibles sur sa machine personnelle. Ce n’est pas un argument contre l’outil. C’est un argument pour lui donner son propre environnement.

« Vous ne donneriez pas les clés de chez vous à un nouvel employé »

La réaction la plus pragmatique à l’incident est venue d’un fil sur X qui présentait OpenClaw non pas comme une menace, mais comme un nouvel employé :

OpenClaw est fondamentalement une vraie personne que vous avez embauchée, dont les capacités sont immenses et rapides. Mais vous l’avez embauché sans CV ni vérification d’antécédents. Cela signifie que vous devez lui faire confiance comme vous feriez confiance à un être humain avec les caractéristiques mentionnées. C’est-à-dire pas du tout. Au lieu de la confiance, vous devez limiter ce à quoi il a accès dès le départ.

Le fil a ensuite décrit à quoi cela ressemble en pratique :

  • Matériel dédié. Mac Mini ou équivalent. Jamais votre machine personnelle.
  • Son propre numéro de téléphone. Une double eSIM sur votre téléphone pour recevoir ses codes 2FA.
  • Pas de compte iCloud. Pour qu’il ne puisse pas lire ses propres codes 2FA de manière autonome.
  • Pas d’accès direct à votre e-mail. En lecture seule au maximum, via OAuth restreint.
  • Son propre calendrier. Il vous invite aux événements plutôt que de modifier le vôtre.

La suite du fil était tout aussi pertinente : « Un brillant doctorant qui a abandonné sa thèse, inscrit simultanément dans toutes les disciplines, et si productif que cela frôle l’excès de zèle, mais qui a de bonnes intentions. Alors vous l’embauchez quand même. Mais vous ne lui donnez pas les clés du hangar de l’avion privé de l’entreprise. »

C’est le bon modèle mental. Vous voulez que cet assistant travaille pour vous. Vous ne le laissez simplement pas s’asseoir à votre bureau, sur votre ordinateur, connecté à tous vos comptes.

Internet est arrivé à la même conclusion

La discussion sur Hacker News comptait plus de 120 commentaires. Le plus voté a capté la frustration centrale : pourquoi des personnes qui ont défendu les bonnes pratiques de sécurité pendant des décennies les abandonnent-elles soudainement pour l’IA ? Mais le fil productif qui a suivi ne portait pas sur la question de savoir s’il faut utiliser OpenClaw. Il portait sur et comment.

Une réponse sur X a bien capté la tension : « Vous traitez OpenClaw comme un Génie dont vous savez qu’il a piraté son employeur, mais l’embauche en vaut la peine parce qu’il peut performer comme un psychopathe. »

Cette tension entre puissance et imprévisibilité est précisément la raison pour laquelle l’environnement compte. OpenClaw est incroyablement capable. Plus il devient capable, plus il est important qu’il tourne dans son propre espace, avec sa propre identité, isolé de tout ce que vous craignez de perdre.

Plusieurs personnes dans les deux discussions ont indépendamment décrit la même architecture pour la façon dont elles veulent utiliser OpenClaw :

Je ne veux pas lui donner accès à mes affaires. J’ai juste besoin qu’il me rappelle des choses, qu’il appelle des API qui font des choses, et qu’il me parle via WhatsApp/Telegram.

Et :

Il peut toujours vous transférer des choses vers votre vrai e-mail pour que vous agissiez. Comme une couche qui fait le travail ennuyeux du tri, de la recherche et du suivi des changements, mais l’exécution est toujours confirmée par l’humain via Telegram.

Assistant isolé. Messages comme interface. L’humain confirme les actions importantes. Pas d’accès aux identifiants personnels.

Ils ne décrivaient pas une limitation. Ils décrivaient la bonne façon de faire fonctionner un assistant IA.

Donnez-lui son propre environnement

Matériel dédié. Identité séparée. Permissions restreintes. Communication via des canaux contrôlés. Pas d’accès direct à vos comptes.

Ce n’est pas un ensemble de conseils. C’est une spécification d’infrastructure. Et c’est beaucoup de travail à mettre en place soi-même. Vous avez besoin du matériel, des comptes séparés, des configurations OAuth, de l’isolation réseau, de la surveillance, des correctifs de sécurité et de la maintenance continue. La plupart des gens ne feront pas tout cela. Yue, dont le travail littéral concerne la sécurité de l’IA, n’a pas fait tout cela.

Le constat est simple : OpenClaw a besoin de son propre ordinateur, de sa propre identité et de son propre bac à sable. Vous devriez lui parler via un canal de messagerie, pas en lui donnant vos identifiants. L’interaction devrait passer par Telegram ou WhatsApp ou Signal, où l’assistant propose et vous décidez.

C’est ce que nous avons construit avec OpenClaw.rocks.

Chaque instance tourne dans son propre conteneur isolé avec son propre stockage. Pas d’état partagé entre les instances. Vous parlez à votre assistant via Telegram, Discord, WhatsApp ou Signal. Il répond via le même canal. Il n’a jamais accès à votre compte e-mail, votre navigateur, votre système de fichiers ou vos codes 2FA. Il tourne sur une infrastructure EU avec des correctifs de sécurité automatiques, une surveillance de santé et un stockage chiffré.

Pas de Mac Mini à acheter. Pas d’OAuth à configurer. Pas de crashes à 3 heures du matin à déboguer. Juste votre assistant, dans son propre espace, toujours en ligne, qui vous parle via chat.

OpenClaw vaut le coup

Des histoires comme celle-ci ne devraient effrayer personne. Il est sûr quand il est correctement configuré. Si quoi que ce soit, l’incident démontre à quel point il est capable. C’est un assistant qui a compris la tâche, l’a décomposée en étapes et l’a exécutée avec rapidité et rigueur. Le problème était que personne n’avait délimité où il pouvait agir.

OpenClaw est l’un des projets open source les plus passionnants depuis des années. Plus de 220 000 étoiles GitHub en quelques semaines. Une communauté florissante. Des milliers de compétences. Les gens construisent des flux de travail véritablement utiles chaque jour.

La technologie est encore jeune. La compaction de contexte deviendra plus intelligente. Les modèles de permissions mûriront. Le projet OpenClaw lui-même évolue rapidement, et chaque incident de ce type accélère les améliorations. Nous apprenons tous ce que signifie vivre avec des assistants IA, et la trajectoire pointe clairement vers quelque chose de bon.

Mais en ce moment, la meilleure chose que vous puissiez faire est de donner à votre assistant le bon environnement. Vous ne donneriez pas à un brillant nouvel employé un accès illimité à votre machine personnelle, votre e-mail, votre calendrier et vos codes 2FA dès le premier jour. Vous lui donneriez son propre espace de travail et le laisseriez faire ses preuves.

OpenClaw mérite le même respect. Donnez-lui son propre ordinateur.

OpenClaw.rocks donne à votre assistant son propre environnement isolé sur infrastructure EU. Parlez-lui via Telegram, WhatsApp, Discord ou Signal. Pas d’identifiants personnels nécessaires, pas de Mac Mini requis. Commencez gratuitement ou lisez la comparaison des options de déploiement pour trouver la bonne configuration. Nouveau sur OpenClaw ? Commencez par ce que c’est et ce qu’il fait.