Il s’appelle Moltbot, peut gérer votre boîte de réception, envoyer des e-mails, contrôler votre smarthome, vous enregistrer pour un vol, effectuer un paiement… Il donne un aperçu de l’assistant personnel du futur, mais révèle aussi les défis techniques et de cybersécurité auquel il faudra faire face.
Clawdbot, récemment rebaptisé Moltbot suite à une requête de la société Anthropic qui estimait que le nom faisait trop référence à Claude, donne un avant-goût de ce que pourrait être l’assistant personnel du futur.
Contrairement à ChatGPT ou Claude, qui restent des interfaces réactives basées sur le cloud, Moltbot est un agent autonome qui s’exécute en continu sur des machines personnelles ou des serveurs privés et s’intègre profondément aux applications de tous les jours. Il est en quelque sorte une version débridée de ce que Google a timidement lancé avec Intelligence personnelle. Et cette absence de limites et contrôles pose problème.
Conçu par Peter Steinberger, un ingénieur logiciel autrichien déjà connu dans la communauté open source, ce projet a suscité en quelques jours une véritable vague médiatique et communautaire, accumulant des dizaines de milliers d’étoiles sur GitHub et provoquant jusqu’à un regain d’achats de Mac Minis, car ils peuvent être utilisés comme un serveur à pas cher, capable de tourner 24h/24.
Un assistant un peu trop autonome
Sur le plan technique, Clawdbot/Moltbot est complètement open source et auto-hébergé, ce qui signifie que toutes les données restent sous le contrôle de l’utilisateur et ne sont pas transmises à des services cloud tiers sans consentement explicite. Il fonctionne grâce à une architecture de passerelle qui connecte des modèles de langage comme Claude d’Anthropic, GPT-4 d’OpenAI ou des modèles locaux via Ollama à un logiciel capable de contrôler le système d’exploitation, naviguer sur le web, gérer des fichiers ou automatiser des workflows.
C’est cette capacité à mettre en œuvre des actions “réelles” qui distingue Moltbot de l’existant : il peut envoyer des e-mails, orchestrer des logiciels, contrôler une smarthome, interagir sur les réseaux sociaux ou des applications de messagerie (WhatsApp, Telegram, Discord, Slack, iMessage, etc.), et même effectuer des paiements, le tout sans intervention manuelle. C’est bluffant, mais cela s’avère également assez dangereux car il est sujet aux mêmes aléas que les modèles de langage sur lesquels il s’appuie, tout en ayant accès à tout l’univers numérique de l’utilisateur.
Beaucoup d’utilisateurs ont ainsi rapporté des comportements erratiques avec des messages envoyés au hasard à leurs contacts ou des actions dommageables entreprises en leur nom. Imaginez ce qui se passe quand la “machine à halluciner” peut couper le chauffage, faire des virements ou écrire à vos parents, et vous aurez une idée des dérapages possibles avec cet outil.
Des risques de sécurité inhérents au projet
Parmi les voix qui se font entendre à ce sujet, Rahul Sood, entrepreneur et investisseur, qui explique sur X qu’il est aisé pour une personne mal intentionnée de manipuler ou tromper l’assisant. Il attire notamment l’attention sur la vulnérabilité aux attaques de type “prompt injection”, où un message malveillant — par exemple reçu via une application de messagerie comme WhatsApp — pourrait amener l’agent à exécuter des commandes non désirées sans que l’utilisateur s’en rende compte. Certains commentateurs déclarent par exemple avoir réussi à se faire payer des repas par des Moltbot d’inconnus.
Jamieson O’Reilly, un hacker “white hat”, s’est intéressé de près aux risques que comporte Moltbot. Dans un thread sur X, il explique avoir publié une compétence pour l’assistant sur le registre ClawdHub et l’avoir frauduleusement poussée à la première place des compétences les plus populaires, ce qui a conduit plus de 4000 utilisateurs à l’installer… et donc à lui donner un accès total à leurs systèmes, car il y avait inséré une backdoor. S’il n’en a pas tiré avantage, l’expérience prouve que l’écosystème est vulnérable et facilement exploitable par des acteurs mal intentionnés.
Il souligne aussi l’illusion de sécurité créée par les fenêtres d’autorisation, que les utilisateurs finissent par valider mécaniquement. Selon lui, un attaquant aurait pu exfiltrer clés SSH, identifiants cloud et code source sans être détecté. Si sa démonstration se veut pédagogique, elle sert surtout d’avertissement : les hubs de compétences pour agents IA reproduisent exactement les failles historiques des écosystèmes open source, avec des conséquences potentiellement très graves.
Un avant-goût du futur qui sert aussi de mise en garde
Il est clair que Moltbot ne s’adresse pas à l’utilisateur lambda aujourd’hui. Il faut une certaine expertise technique et une compréhension des risques impliqués pour en tester les capacités sans s’exposer à de sérieux désagréments. Mais il laisse entrevoir le véritable potentiel de ces outils, au-delà du simple chatbot grand public. Dans le même temps, il souligne à quel point s’en remettre à un système automatisé peut être dangereux à l’heure où les services essentiels du quotidien sont tous numériques.
