Apparu sous le nom de Clawdbot puis rebaptisé Moltbot, l’agent local open source permet d’exécuter des tâches à la place de l’utilisateur, directement sur sa machine. L’outil intrigue parce qu’il matérialise enfin des capacités agissantes. Il suscite aussi de l’inquiétude en raison de l’absence de garde-fous, ce qui a conduit Heather Adkins, vice-présidente de la sécurité chez Google Cloud, à émettre une mise en garde publique.
Le projet Moltbot a d’abord émergé comme une version bêta communautaire, puis a gagné en visibilité en quelques jours en raison de son potentiel de transformation entre un assistant conversationnel et un agent exécutif. Moltbot peut lire des dossiers locaux, déclencher des commandes, interagir avec des messageries et orchestrer des tâches en chaîne, donc il concentre dans un même processus des privilèges habituellement répartis entre plusieurs couches logicielles. Ce choix accélère les cas d’usage, mais il élargit mécaniquement la surface d’attaque.
Cette architecture repose sur un principe simple, donner à l’agent des droits étendus afin qu’il puisse agir sans friction. Or, parce que l’agent manipule des clés API, des jetons d’accès et des variables d’environnement, il devient un point de convergence pour les identités et les secrets. Par conséquent, une compromission unique suffit à exposer l’ensemble du poste de travail, ce qui transforme un outil d’automatisation en vecteur potentiel de fuite de données.
Aucun mécanisme de sandboxing strict
Les premières analyses techniques montrent un stockage imparfait des secrets, des interfaces d’administration parfois accessibles et une dépendance à des modules tiers peu gouvernés. Dès lors que des extensions non vérifiées sont intégrées, la chaîne de confiance se fragilise, car aucun mécanisme natif n’impose de sandboxing strict ni de contrôle granulaire des permissions. Cette absence de cloisonnement explique pourquoi des experts en cybersécurité ont publiquement déconseillé l’exécution de ce type d’agent avec des privilèges élevés.
Le problème dépasse l’implémentation ponctuelle, puisqu’il relève du modèle lui-même. Un agent probabiliste doté de capacités d’action généralisées contredit les principes de moindre privilège et de défense en profondeur. Ainsi, même lorsque l’intention consiste à automatiser des tâches banales, le chemin technique impose des accès comparables à ceux d’un administrateur, sans bénéficier des outils industriels associés comme la journalisation fiable, l’audit des actions et la supervision continue.
Pour les DSI et les RSSI, l’équation est défavorable à ce stade. Les gains de productivité restent exploratoires, tandis que les risques sont immédiats, car l’agent agrège fichiers, identités et services dans un même flux d’exécution. Cette concentration crée un nouveau point critique du système d’information, ce qui oblige à revoir les modèles de menace, les politiques d’accès et la gestion des secrets avant toute projection en environnement professionnel.
Un crash test grandeur nature
Si Moltbot possède une utilité aujourd’hui, elle tient surtout au rôle de crash test grandeur nature. Le projet permet d’observer comment les utilisateurs délèguent, à quelle vitesse ils élargissent les droits de l’agent et quelles tâches ils cherchent à automatiser en priorité. Cette observation fournit une photographie brute du futur des agents autonomes, mais elle montre aussi que l’industrialisation passera nécessairement par des environnements confinés, une orchestration centralisée et une gouvernance stricte des extensions.
En l’état, Moltbot relève davantage du laboratoire ouvert que du produit opérationnel. Il accélère l’apprentissage collectif sur l’IA agentique, mais il révèle simultanément le fossé entre la promesse d’exécution autonome et la réalité de terrain. Pour les entreprises et les administrations, la conclusion est limpide : la valeur ne résidera pas dans l’agent lui-même, mais dans son orchestration, avec isolation forte, permissions granulaires et traçabilité complète, sans quoi l’agent local restera un amplificateur de risque plutôt qu’un levier de performance.
