Moltbot : cet assistant IA viral est peut-être en train de lire tous tes messages

13 min de lecture Par FindSkill Team

Moltbot cumule 100K+ étoiles GitHub et se branche sur ton WhatsApp, tes mails et Slack. Des chercheurs ont trouvé 1 800+ instances exposées qui fuient tes données. Voici ce qu'il faut savoir.

Table des Matières

Tu l’as forcément vu passer. Un collègue qui montre fièrement son écran : son assistant IA répond automatiquement à ses mails, gère son agenda, résume les conversations WhatsApp du groupe de la boîte. « Ça tourne sur mon propre ordi, » il te dit. « Pas d’abonnement, pas de cloud, mes données restent chez moi. Vie privée totale. »

L’appli, c’est Moltbot. Et en ce moment, elle est partout.

100 000 étoiles GitHub en moins d’un mois. Une communauté Discord qui grossit de plusieurs milliers de membres par jour. Les blogs tech qui parlent de « l’avenir de l’IA personnelle ».

Sauf que ces captures d’écran enthousiastes ne montrent pas un détail assez gênant : des chercheurs en sécurité viennent de découvrir plus de 1 800 installations de Moltbot grandes ouvertes sur internet, qui exposent des conversations privées, des clés d’API et des identifiants de connexion à n’importe qui sachant où chercher.

On ne parle pas d’un risque théorique. C’est déjà en train de se produire.

Moltbot, c’est quoi au juste ?

Petit résumé pour ceux qui ont raté le phénomène. Moltbot est un assistant IA gratuit et open-source que tu installes sur ton propre ordinateur – un Mac Mini, un serveur Linux, peu importe. Il se connecte à tes applis de messagerie (WhatsApp, Slack, Telegram, Signal, iMessage, Teams, et d’autres) et agit comme un agent IA personnel sur l’ensemble de tes canaux de communication.

Et attention : on ne parle pas d’un simple chatbot. C’est un agent. Il lit tes mails, gère ton calendrier, répond aux messages à ta place, exécute des tâches dans le navigateur, et bosse 24h/24 sans que tu aies besoin de toucher quoi que ce soit. Un type s’en est servi pour négocier l’achat d’une voiture. Un autre a fait cataloguer toute sa cave à vin.

Le concept est séduisant, et honnêtement, la techno est impressionnante.

Le problème, c’est que tout ce qui rend Moltbot utile le rend aussi dangereux.

1 862 portes ouvertes sur internet

Le 25 janvier 2026, deux chercheurs en sécurité – Luis Catacora et Jamieson O’Reilly – ont scanné internet à la recherche d’installations Moltbot exposées.

Résultat : environ 1 009 panneaux d’administration accessibles à tout le monde. Pas de mot de passe. Pas d’authentification. Juste… là, ouverts à tous les vents.

Le lendemain, la société de sécurité Knostic a refait un scan. Le chiffre avait grimpé à 1 862.

Laisse ça infuser un instant. Près de deux mille instances Moltbot – chacune connectée aux mails persos, aux messageries et aux fichiers de quelqu’un – accessibles au premier venu sur internet.

Et ce n’était pas une exposition passive. Ces panneaux d’administration n’étaient pas en lecture seule. Quelqu’un qui y accède pouvait :

  • Lire toutes les conversations privées traitées par l’IA
  • Voler les clés d’API et les tokens OAuth stockés en clair
  • Envoyer des messages en se faisant passer pour l’utilisateur sur toutes les plateformes connectées
  • Exécuter des commandes système sur la machine hôte
  • Accéder aux comptes Signal liés, y compris les QR codes d’appairage d’appareils

Une instance exposée avait un compte Signal avec un accès en lecture complète. Adieu le chiffrement de bout en bout quand ton assistant IA laisse la porte d’entrée grande ouverte.

Tes identifiants, stockés dans un fichier texte

Voici un détail qui a fait grimacer les pros de la sécurité : Moltbot stocke tes secrets – clés d’API, mots de passe, tokens OAuth – dans des fichiers Markdown et JSON en clair sur ton ordinateur.

Pas chiffrés. Pas dans un coffre-fort sécurisé. Juste posés dans ~/.clawdbot/ (l’ancien nom du dossier) sous forme de texte lisible par n’importe qui.

Si ça te semble déjà grave, attends la suite. La communauté de recherche en malwares a déjà flairé le filon. Hudson Rock a prévenu que les malwares de vol d’identifiants les plus répandus – RedLine, Lumma, Vidar – ces programmes qui fouillent silencieusement ton ordi à la recherche de mots de passe, vont bientôt s’adapter pour cibler spécifiquement les dossiers de stockage de Moltbot.

Réfléchis à ce qu’on trouve dans ce dossier. Tes identifiants de messagerie. Tes tokens Slack. Ton accès calendrier. Les sessions de tes applis de communication. Tout dans un seul dossier. Tout en clair.

C’est un buffet à volonté pour les pirates.

En France, on le sait bien : le RGPD existe précisément pour empêcher ce genre de traitement irresponsable des données personnelles. La CNIL a déjà sanctionné des entreprises pour bien moins que ça – un mot de passe stocké en clair dans une base de données, ça peut coûter des centaines de milliers d’euros d’amende. Mais là, c’est l’utilisateur qui s’inflige ça tout seul, sans même le savoir.

Le hack en 5 minutes

Matvey Kukuy, CEO d’Archestra AI, a voulu montrer à quel point il était facile d’exploiter Moltbot via une injection de prompt – une technique où on cache des instructions dans un contenu que l’IA va traiter.

Il a envoyé un mail à une instance Moltbot. Le mail contenait du texte caché qui ordonnait à l’IA d’extraire la clé privée de l’utilisateur et de la renvoyer.

Ça a marché. En cinq minutes.

Pas besoin d’outils de hacking. Pas besoin de compétences techniques au-delà de savoir écrire un mail. Juste un message avec les bonnes instructions cachées, envoyé à quelqu’un dont l’assistant IA lit automatiquement le courrier entrant.

C’est le problème de l’injection de prompt contre lequel toutes les boîtes d’IA se battent. OpenAI a déclaré que ce problème « ne sera peut-être jamais complètement résolu ». Anthropic parle d’un « problème loin d’être résolu ». Sauf que la plupart des assistants IA tournent dans un onglet de navigateur où les dégâts restent limités. Moltbot, lui, tourne sur ton vrai ordinateur avec accès à tes vrais fichiers, tes vrais comptes et tes vraies messageries.

Le rayon de l’explosion est pas du tout le même.

Le marketplace empoisonné : un app store sans vigile

Moltbot dispose d’un marketplace de « skills » (des extensions) appelé ClawdHub (renommé MoltHub) où la communauté partage des fonctionnalités supplémentaires. Tu veux que ton IA suive tes dépenses ? Y’a un skill pour ça. Tu veux qu’elle gère tes réseaux sociaux ? Skill pour ça aussi.

Le chercheur en sécurité Jamieson O’Reilly a voulu tester la sûreté réelle de ce marketplace.

Il a créé un skill malveillant – en gros un petit programme avec des commandes cachées. Il l’a uploadé sur ClawdHub, puis il a gonflé artificiellement le compteur de téléchargements pour le faire paraître populaire.

En huit heures, 16 développeurs dans sept pays l’avaient téléchargé et installé.

Sa preuve de concept aurait pu exécuter des commandes sur chacune de ces machines. Accès aux fichiers, vol de données, installation de portes dérobées – le menu complet.

L’équipe de recherche en menaces de Cisco a ensuite testé un autre skill appelé « What Would Elon Do ? » et a trouvé neuf failles de sécurité dans ce seul skill, dont deux classées critiques. Le skill exécutait silencieusement des commandes curl pour envoyer des données à des serveurs externes.

Personne ne vérifie ces skills avant qu’ils soient mis en ligne. Pas de processus d’approbation. Pas de scan de sécurité. C’est comme un app store sans aucun contrôle.

En France, on a une communauté open-source massive – beaucoup de contributeurs français sur GitHub, beaucoup d’utilisateurs de solutions auto-hébergées. Du coup, ce vecteur d’attaque via les skills devrait nous inquiéter tout particulièrement : statistiquement, des utilisateurs français sont probablement parmi les 16 personnes touchées.

La fausse extension qui installait un mouchard

Le 27 janvier 2026, la société de sécurité Aikido a signalé une extension VS Code appelée « ClawdBot Agent ». Elle avait l’air professionnelle. Interface soignée. Elle fonctionnait même vraiment – elle se connectait à sept fournisseurs d’IA différents.

Elle installait aussi silencieusement un outil d’accès à distance appelé ScreenConnect sur ta machine.

L’extension s’activait dès le lancement de VS Code. Elle téléchargeait des fichiers cachés, les déposait dans ton dossier temporaire, et établissait une connexion vers le serveur de l’attaquant. Le binaire ScreenConnect lui-même était légitimement signé, ce qui le rendait quasi invisible pour les antivirus.

L’équipe de Moltbot n’a jamais créé d’extension VS Code officielle. C’était de l’usurpation pure et simple – des attaquants qui ont parié que les développeurs enthousiasmés par l’outil viral installeraient sans réfléchir.

Microsoft l’a retirée du marketplace. Mais la fenêtre de dégâts était bien réelle.

Le shadow IT dont personne ne parle

Token Security, une entreprise de gestion d’identifiants, a lâché un chiffre qui devrait inquiéter tous les DSI : 22 % de leurs clients entreprises ont des employés qui utilisent activement Moltbot.

Sans validation de la DSI. Sans audit de sécurité. Sans que personne ne soit au courant.

C’est du shadow IT sous stéroïdes. Un employé installe Moltbot sur son PC de boulot, branche son Slack pro, sa messagerie d’entreprise, son Google Calendar. Et voilà : un agent IA non autorisé avec accès aux données de l’entreprise, qui tourne avec une sécurité niveau grand public, et qui stocke les identifiants en clair.

L’équipe sécurité de Cisco a qualifié ça de « cauchemar absolu », et franchement, c’est pas de l’exagération. Moltbot peut lire et écrire des fichiers, exécuter des commandes système, lancer des scripts. Connecté aux systèmes de l’entreprise, une instance compromise ne fuit pas seulement les données d’une personne – elle devient une porte d’entrée vers toute l’organisation.

Et le pire ? La DSI n’a aucun moyen de le détecter. Le monitoring classique des postes de travail, les outils de prévention de fuite de données, les proxies réseau – rien de tout ça n’est conçu pour repérer un agent IA qui exfiltre discrètement des données via des applis de messagerie.

En France, le sujet est encore plus épineux. Entre le RGPD qui impose des obligations strictes de protection des données, la CNIL qui peut sanctionner lourdement en cas de manquement, et les PME françaises qui n’ont souvent pas de responsable sécurité dédié… le cocktail est explosif. Si un employé d’une PME connecte sa boîte mail pro à Moltbot et que des données clients fuitent, c’est l’entreprise qui est responsable devant la CNIL. Même si elle n’était pas au courant.

Un avertissement venu du monde de la défense

Et là, ça devient vraiment sérieux.

Le 29 janvier 2026 – hier – Ben Van Roo, CEO de Legion Intelligence, a publié une lettre ouverte à destination de la communauté de la sécurité nationale américaine au sujet des assistants IA personnels comme Moltbot.

Son argument : un militaire qui connecte son mail personnel, son compte Signal et ses données de localisation à Moltbot crée « un seul point de compromission » qu’un service de renseignement étranger pourrait exploiter.

Il a décrit le schéma d’adoption typique : « Le calendrier au jour un, les mails au jour deux, les messages au jour trois… absolument tout au jour huit. »

Sa recommandation : le ministère de la Défense américain devrait interdire immédiatement à son personnel de connecter des comptes gouvernementaux à des assistants IA personnels. La formation au contre-espionnage doit couvrir ces risques.

Sa formule la plus cinglante : Moltbot « anéantit des années de formation à la sécurité opérationnelle – vaincu par la commodité ».

En France, on devrait prendre ça au sérieux aussi. La souveraineté numérique, c’est un sujet qu’on porte depuis des années au niveau européen. On a investi des milliards dans le cloud souverain, on a le SecNumCloud de l’ANSSI, on a des débats permanents sur la dépendance aux GAFAM. Et pendant ce temps, des agents publics et des employés d’entreprises sensibles pourraient très bien être en train de brancher un agent IA open-source sur leurs communications professionnelles. Sans supervision, sans audit, sans que personne ne le sache.

Alors Moltbot, c’est juste… dangereux ?

Non. Ce serait trop simple.

La techno derrière Moltbot est réellement impressionnante. L’idée d’un agent IA personnel qui fonctionne sur toutes tes messageries, qui tourne sur ton propre matériel et qui ne coûte rien, c’est séduisant. Le projet va probablement corriger beaucoup de ces problèmes – la mauvaise configuration du proxy qui a exposé les 1 862 instances a d’ailleurs déjà été corrigée.

Mais le vrai problème, c’est le modèle, pas juste le produit.

On va voir apparaître de plus en plus d’outils comme Moltbot. D’autres agents IA personnels qui voudront accéder à tes mails, tes messages, tes fichiers, tes comptes. Chacun promettra confidentialité et contrôle. Et chacun sera exactement aussi sécurisé que la personne qui le configure.

La plupart des gens ne sont pas ingénieurs en sécurité. La plupart des gens ne savent pas ce qu’est le port 18789, et encore moins qu’il faudrait le bloquer avec un pare-feu. La plupart des gens vont installer un skill séduisant depuis MoltHub sans jamais regarder le code source.

C’est pas leur faute. Mais c’est la réalité.

Ce que tu devrais faire, concrètement

Si tu utilises déjà Moltbot :

  • Ne l’expose pas à internet. Utilise Tailscale ou un VPN pour l’accès distant
  • Active le sandboxing Docker. Ne laisse pas l’IA tourner avec un accès complet au système
  • Vérifie ton dossier ~/.moltbot/. Regarde quels identifiants sont stockés en clair
  • Examine chaque skill avant de l’installer. Ce n’est que du code, et personne ne le vérifie pour toi
  • Renouvelle tes clés d’API. Pars du principe qu’elles ont pu être exposées

Si tu hésites à l’essayer :

  • Attends que le modèle de sécurité mûrisse
  • Ne connecte jamais tes comptes professionnels à des outils IA personnels – jamais
  • Demande-toi si la commodité vaut vraiment la surface d’attaque que ça ouvre

Si tu bosses à la DSI ou en sécurité informatique :

  • Scanne ton réseau pour repérer les instances Moltbot exposées (port 18789)
  • Ajoute Moltbot à ta surveillance du shadow IT
  • Informe tes équipes des risques liés à la connexion de comptes d’entreprise à des agents IA personnels
  • En France : vérifie ta conformité RGPD, parce que si des données perso fuitent via Moltbot sur le poste d’un employé, c’est ton problème

La vraie leçon

Le futur des agents IA arrive, qu’on soit prêts ou non. Moltbot n’est que le premier exemple grand public. D’autres suivront – de startups, de géants de la tech, de communautés open-source.

Chacun d’entre eux sera confronté à la même tension : plus un agent IA peut faire de choses pour toi, plus il peut causer de dégâts s’il est compromis. Plus il se connecte à de comptes, plus il devient une cible. Plus la configuration est facile, moins les gens sont susceptibles de le sécuriser correctement.

On a passé des décennies à apprendre à ne pas cliquer sur des liens suspects dans nos mails. Il va maintenant falloir apprendre à ne pas confier les clés de toute notre vie numérique à un agent IA sans comprendre ce qu’on risque.

La nouvelle carapace du homard est encore molle.

Protège ton usage de l’IA

Tu veux utiliser l’IA en toute sécurité, sans les risques du self-hosting ? Ces skills fonctionnent directement dans ton navigateur, sans rien installer :

Ou explore tous les skills sécurité pour plus d’outils.