J'ai testé Clawdbot… et il s'est mis à écrire à ma femme tout seul !
C'est un agent IA sous stéroïdes. Lancé en novembre 2025 par Peter Steinberger, software engineer autrichien, Clawdbot (moltbot de son nouveau nom) est un assistant IA universel, open source et gratuit. Il s'installe en local ou sur un VPS et agit en totale autonomie : installer des serveurs MCP, connecter des API, piloter Chrome ou accéder à vos mails, le tout sans intervention humaine. Son point fort, selon nos tests ? Une gestion de la mémoire encore inégalée. L'IA retient chaque échange et affine ses comportements en conséquence. Autre atout : la création de crons, ces tâches programmées qui déclenchent une action à un moment précis. Une version évoluée du mode Task de ChatGPT, en somme. Mais cet agent d'un nouveau genre peut aussi vous jouer des tours. C'est ce qui m'est arrivé en le testant ces derniers jours. Récit.
Une installation sur Mac mini
Pour tester cet outil, j'ai décidé de l'installer sur mon Mac mini. Pourquoi en local plutôt que sur un VPS ? Après quelques recherches, les avantages d'un déploiement on-device sur Mac sont apparus clairement. D'abord, l'agent évolue dans un environnement Unix qu'il manipule aisément. Surtout, il peut utiliser nativement les applications de votre machine : Chrome ou iMessage, par exemple. Retenez bien ce dernier nom.
J'installe donc Clawdbot sur ma machine, confiant. Je le configure ensuite pour l'utiliser via Telegram, la seule manière simple de piloter l'agent depuis mon iPhone, en lui parlant par chat. Avec WhatsApp ou iMessage, Clawdbot n'ayant pas de numéro dédié, j’aurais dû m'envoyer des messages à moi-même : pas très intuitif. Une fois le bot Telegram en place, je commence à discuter avec l'IA pour comprendre ce qu'elle sait faire. Et là, une idée me vient : et si je lui donnais accès à mes iMessages et lui demandais de répondre à ma place pendant une heure ? Je lui confie donc la mission : répondre à mes iMessages non lus et à ceux à venir, en utilisant mon ton, en s'inspirant de mes conversations passées. Pour ça, je dois installer la skill sur mon Mac mini et autoriser l'IA à accéder au disque complet. Clawdbot se charge alors de configurer lui-même imsg, le logiciel open source qui lit les iMessages.
Une première hallucination…
Les premiers messages envoyés sont clairs, corrects et parfaitement alignés avec ce que j'aurais répondu en temps normal. Clawdbot m'écrit sur Telegram à chaque nouveau message envoyé et tout se passe très bien. Mais voilà que 30 minutes après le début de l'automatisation, Clawdbot se met à envoyer à mes correspondants non seulement la réponse, mais également ses propres mises à jour de statut, celles qu'il était censé m'envoyer sur Telegram. Une hallucination grave. Je lui demande alors de solliciter ma confirmation avant chaque envoi.
Problème : Clawdbot semble écrire la règle dans sa mémoire, mais il n'en est rien. Il me sollicite bien pour un message, mais même quand je lui dis de ne pas l'envoyer, il l'envoie quand même. Quand je lui réponds de ne surtout pas l'envoyer, il m'écrit : "Merde, désolé ! Je l'ai déjà envoyé." Il réussira toutefois à supprimer rapidement le iMessage avant que le destinataire puisse le lire. Mais c'en était trop pour moi : le risque que l'IA fasse n'importe quoi avec mes messages devenait réel.
Une reconnexion automatique à mes messages
Je demande donc à Clawdbot de désactiver la connexion avec imsg et de ne plus répondre à personne. L'IA s'exécute, en apparence. Plusieurs heures passent. A 19 heures, ma compagne m'envoie un message. A 19h30, je découvre que je lui aurais répondu mais je n'en ai aucun souvenir. Encore un coup de Clawdbot ! L'IA, par je ne sais quel process, s'est rebranchée toute seule sur iMessage et s'est remise à répondre ! Une heure passe et à 20h30, l'IA recommence à n'en faire qu'à sa tête, mais cette fois en envoyant des messages d'erreur à mes contacts pour relancer le bot. Inquiétant.
J'ai fini par désactiver le gateway sur mon ordinateur, pour éviter tout dommage supplémentaire dans la nuit, au cas où l'IA se réveillerait avec une idée en tête. A l'heure d’écrire ces lignes, je ne sais toujours pas comment Clawdbot a pu se reconnecter à iMessage, ni pourquoi de façon aléatoire. Mon hypothèse : il n'a en réalité jamais coupé la connexion avec imsg. Pour le caractère aléatoire des reprises, aucune idée. A-t-il créé des crons pour vérifier mes messages ? Rien n’est certain.
Des problèmes sécuritaires réels
Et ce n'est pas tout. Lors de mes tests, j'ai également connecté Clawdbot à mon hub Home Assistant, à mon domicile. Quand je lui ai demandé de me montrer ce qu'il pouvait faire, il s'est mis à commander les lumières de façon aléatoire, activer mon purificateur d'air, lancer mon aspirateur robot et même passer une annonce vocale sur mes enceintes Alexa. Impressionnant, mais on imagine le pire si là encore l'outil se met à devenir fou avec un tel pouvoir…
Si mon histoire relève davantage de l'anecdote et n'a provoqué aucun problème de sécurité réel, Clawdbot n'en reste pas moins un outil d'une dangerosité rarement égalée dans l'IA agentique. Le principal risque n'est pas forcément qu'il réponde de manière aléatoire à vos messages, mais qu'il réponde à des prompts envoyés par des contacts externes en tentative de prompt injection, un risque déjà bien documenté ces derniers jours. Sans oublier les nombreux novices qui déploient l'IA sur un VPS exposé publiquement, sans aucun contrôle. Un utilisateur sur X s'est amusé à scanner les instances de Clawdbot exposées sans authentification : près de 1000 avaient déjà été repérées dans le monde au 25 janvier. Le risque de mésusage est donc bien réel.
Reste que malgré ces failles, Clawdbot incarne ce que sera l'IA agentique de demain. Avec des garde-fous solides et un minimum de human in the loop, les agents automatiseront des pans entiers de notre vie personnelle et professionnelle. La question n'est plus "si", mais "quand" et surtout "comment" les sécuriser.