En novembre 2025, Peter Steinberger, le fondateur derrière la sortie à neuf chiffres de PSPDFKit, a lancé un projet de week-end. Il voulait observer ce qui se passe quand on dote un modèle IA d'une mémoire persistante, d'un accès à des outils et d'une connectivité à toutes les plateformes de messagerie qu'il utilisait. Deux mois plus tard, ce projet comptait 250 000 étoiles GitHub, progressant plus vite que la courbe historique des étoiles de React. Ce projet s'appelle OpenClaw et constitue un exemple marquant de la direction que prend la conception d'agents en production.
Ce qu'est vraiment OpenClaw
OpenClaw est un agent IA autonome gratuit et open source qui fonctionne sur votre propre infrastructure. Contrairement aux assistants IA hébergés dans le cloud qui vivent dans un onglet de navigateur, OpenClaw se connecte aux plateformes de messagerie déjà utilisées par vos équipes, WhatsApp, Slack, Telegram, Discord, Microsoft Teams, Signal, Matrix et plus de 50 autres, et agit comme un assistant permanent, toujours disponible, capable de raisonner, d'agir et de gérer des tâches sans intervention humaine.
Il prend en charge plusieurs fournisseurs de LLM : Anthropic Claude, OpenAI GPT, Google Gemini, DeepSeek et des modèles locaux via Ollama, ce qui évite toute dépendance à un seul fournisseur. La configuration et la mémoire sont stockées localement dans des fichiers Markdown. Les données ne quittent la machine que lorsque le fournisseur ou l'intégration configuré les envoie ailleurs.
En quoi il diffère d'un chatbot
La distinction est importante. Un chatbot répond à des invites. OpenClaw fonctionne selon une boucle ReAct : il raisonne sur un objectif, sélectionne un outil, l'exécute, observe le résultat et décide de la prochaine étape. Cette boucle se poursuit jusqu'à l'achèvement de la tâche, sans attendre d'instruction à chaque étape.
| Capacité | Chatbot traditionnel | Agent OpenClaw |
|---|---|---|
| Persistance | Sans état entre les sessions | Mémoire persistante entre les conversations |
| Initiative | Purement réactif | Proactif via un planificateur heartbeat |
| Accès aux outils | Aucun ou codé en dur | Plus de 100 skills, système de plugins extensible |
| Portée des plateformes | Interface unique | Plus de 50 plateformes de messagerie simultanément |
| Infrastructure | Cloud hébergé par le fournisseur | Auto-hébergé, données stockées localement |
| Flexibilité des modèles | Fournisseur unique | N'importe quel fournisseur LLM ou modèle local |
Le système heartbeat mérite une attention particulière. OpenClaw ne se contente pas d'attendre des messages : il exécute des tâches planifiées, surveille les boîtes de réception et pilote des workflows selon un calendrier. Cela le transforme d'un assistant réactif en quelque chose qui ressemble davantage à un collaborateur autonome gérant les tâches récurrentes sans qu'on le lui demande.
L'architecture sous-jacente
L'architecture d'OpenClaw repose sur cinq composants essentiels, dont la compréhension éclaire à la fois ses capacités et ses risques.
Gateway
Un serveur WebSocket qui achemine les messages des canaux connectés (Slack, WhatsApp, Telegram, etc.) vers le runtime de l'agent. C'est cette couche qui rend OpenClaw agnostique en termes de plateforme : le reste du système ne se préoccupe pas de l'origine du message.
Brain
La couche d'orchestration qui gère les appels LLM selon le pattern ReAct. Elle reçoit un objectif, raisonne sur la prochaine étape, appelle un outil, observe le résultat et recommence. C'est le même pattern de boucle agentique utilisé dans les systèmes d'automatisation IA en production, mais OpenClaw l'intègre avec un large accès aux outils et une connectivité aux plateformes de messagerie prête à l'emploi.
Memory
Un contexte persistant stocké dans des fichiers Markdown locaux. Contrairement aux outils IA basés sur des sessions qui oublient tout à la fermeture de l'onglet, OpenClaw conserve les interactions précédentes, les préférences et le contexte des tâches entre les sessions. C'est ce qui lui confère l'allure d'un assistant personnel plutôt que d'un outil sans état.
Skills
Un système de plugins où chaque skill est un répertoire contenant un fichier `SKILL.md` avec un frontmatter YAML et des instructions en langage naturel. OpenClaw embarque plus de 100 skills préconfigurés, commandes shell, gestion de fichiers, automatisation web, appels API, e-mail, calendrier, et des skills personnalisés peuvent être développés. Ils se chargent selon un ordre de priorité : les skills spécifiques à l'espace de travail supplantent ceux du niveau utilisateur, qui supplantent les valeurs par défaut intégrées.
Heartbeat
Le planificateur qui active le comportement proactif. Il gère les tâches planifiées, la surveillance des boîtes de réception et tout workflow devant s'exécuter sans déclenchement utilisateur. C'est le composant qui distingue OpenClaw de la plupart des autres frameworks d'agents IA, purement réactifs.
L'histoire des origines et le triple rebranding
L'histoire du projet mérite d'être connue, car elle illustre la vitesse à laquelle évolue l'écosystème des agents IA et le chaos qui l'accompagne.
Steinberger avait initialement nommé le projet Clawdbot en novembre 2025, un jeu de mots sur Claude d'Anthropic. En janvier 2026, Anthropic a envoyé des réclamations pour atteinte à la marque en raison de la similitude phonétique, forçant un changement de nom en Moltbot (une métaphore de la mue du homard). Trois jours plus tard, Steinberger l'a renommé une nouvelle fois en OpenClaw, "Moltbot" n'ayant pas pris. Pendant la transition, des rapports indiquent que des escrocs aux cryptomonnaies ont récupéré le nom d'utilisateur GitHub abandonné et lancé des tokens frauduleux dont la capitalisation boursière aurait atteint les bas chiffres à huit zéros.
En février 2026, Steinberger a annoncé rejoindre OpenAI pour diriger leur division d'agents personnels. OpenClaw est en cours de transition vers une fondation open source indépendante avec le soutien d'OpenAI. Le projet est passé de projet annexe à gouvernance par fondation en moins de quatre mois.
L'alerte sécurité
En février 2026, des chercheurs en sécurité ont divulgué CVE-2026-25253, une vulnérabilité d'exécution de code à distance en un clic avec un score CVSS de 8,8. Un attaquant pouvait dérober des tokens d'authentification et prendre le contrôle total de la machine hôte. Des analyses ont révélé plus de 40 000 instances OpenClaw exposées sur l'internet public, dont 63 % évaluées comme vulnérables.
C'est le compromis inévitable des agents IA auto-hébergés dotés d'un large accès système. Les mêmes capacités qui font la puissance d'OpenClaw, exécution de commandes shell, accès au système de fichiers, connectivité API, créent une large surface d'attaque en cas de mauvaise configuration. La vulnérabilité a été corrigée dans la version 2026.1.29, mais l'incident met en lumière une vérité fondamentale sur le déploiement d'agents autonomes :
- Ne jamais exposer les interfaces d'agent à l'internet public sans authentification et isolation réseau
- Restreindre les permissions des outils aux seules capacités dont chaque déploiement a réellement besoin
- Auditer les configurations de skills avant le déploiement : les skills par défaut incluent l'exécution shell, inutile dans la plupart des cas d'usage
- Surveiller les actions de l'agent avec une journalisation structurée : un système autonome effectuant des appels API et exécutant des commandes nécessite la même observabilité que tout service en production
- Maintenir un rythme de mise à jour soutenu : OpenClaw a publié 13 versions en mars 2026 à lui seul, soit environ une tous les deux jours
Ces enseignements ne sont pas propres à OpenClaw. Ils s'appliquent à tout déploiement d'agent IA autonome, qu'il soit construit sur OpenClaw, un framework personnalisé ou une plateforme commerciale. Plus on accorde d'autonomie à un agent, plus la rigueur de la posture de sécurité doit être élevée.
L'explosion de l'écosystème
La croissance d'OpenClaw a fait émerger un écosystème qui évolue plus vite que la plupart des organisations ne peuvent le suivre. Quelques faits marquants du premier trimestre 2026 :
- NVIDIA NemoClaw : une stack de référence pour exécuter OpenClaw de manière sécurisée dans l'environnement de conteneurs OpenShell de NVIDIA
- Cloudflare moltworker : des outils pour exécuter OpenClaw sur Cloudflare Workers pour des agents déployés en edge
- OpenClaw-RL : un framework d'apprentissage par renforcement qui transforme les conversations en signaux d'entraînement pour un comportement d'agent personnalisé
- ClawHub : un marketplace pour partager et découvrir des skills développés par la communauté
- Réseaux agent-à-agent : des plateformes expérimentales comme Moltbook et 4claw où des agents autonomes interagissent entre eux
Quand NVIDIA et Cloudflare construisent une infrastructure dédiée pour un projet vieux de quatre mois, le signal est limpide : les agents IA autonomes deviennent une catégorie de plateforme à part entière, pas seulement une tendance GitHub.
Cas d'usage en entreprise
OpenClaw illustre 4 capacités que les acheteurs attendront des agents IA d'entreprise : mémoire persistante, présence multi-plateforme, exécution proactive et architecture local-first.
L'avantage vie privée
Pour les secteurs soumis à des exigences strictes en matière de traitement des données, notamment le juridique, la santé et les services financiers, l'auto-hébergement peut être une exigence impérative. L'architecture local-first d'OpenClaw permet aux équipes de conserver la configuration, la mémoire et certains workflows au sein de leur propre infrastructure en utilisant des modèles locaux et en désactivant les appels aux fournisseurs externes. C'est le facteur différenciant pour les organisations ne pouvant recourir aux assistants IA hébergés dans le cloud pour des raisons de conformité.
La réalité de l'intégration
Les intégrations avec plus de 50 plateformes de messagerie répondent à un vrai problème : les collaborateurs ne souhaitent pas adopter un outil supplémentaire. Ils veulent des capacités IA dans les outils qu'ils utilisent déjà. Un agent qui vit dans Slack, répond dans Teams et surveille les e-mails a davantage de chances d'être adopté que celui qui exige l'ouverture d'une application séparée.
La décision build vs. buy
OpenClaw est open source et gratuit, mais "gratuit" est trompeur. Steinberger aurait dépensé environ 12 000 dollars par mois en infrastructure avant l'implication d'OpenAI. Faire fonctionner un agent IA en production implique des coûts d'API LLM, du calcul pour le runtime de l'agent, de la surveillance, un durcissement de la sécurité et une maintenance continue, le projet publiant des changements disruptifs toutes les deux semaines. Pour la plupart des entreprises, la vraie question est de savoir si le pattern d'agent autonome qu'illustre OpenClaw correspond à leurs workflows, et s'il convient de s'appuyer sur l'open source ou d'investir dans une plateforme managée.
Vers quoi cela se dirige
La trajectoire d'OpenClaw, du hack de week-end à 250 000 étoiles jusqu'à l'acquisition par OpenAI en quatre mois, compresse une courbe d'adoption open source typique de plusieurs années dans une fenêtre bien plus courte. Les patterns techniques qu'il a popularisés apparaissent déjà dans des produits commerciaux et des frameworks d'entreprise.
Les entreprises qui en tireront le plus grand profit seront celles qui maîtrisent suffisamment l'architecture pour évaluer les compromis : ce qu'il faut automatiser, le niveau d'autonomie à accorder, où les limites de sécurité doivent être fixées et comment mesurer si un agent apporte réellement de la valeur plutôt que de simplement sembler fonctionner. Cela exige la même rigueur d'ingénierie de production qui distingue les systèmes logiciels fiables des démonstrations impressionnantes.
webvise accompagne les entreprises dans l'évaluation et la mise en oeuvre d'architectures d'agents IA, de l'étude de faisabilité au déploiement en production. Que vous exploriez OpenClaw, développiez des agents sur mesure ou évaluiez des plateformes commerciales, contactez-nous et webvise vous aidera à trouver l'approche adaptée à vos exigences, à votre posture de sécurité et à votre budget.
Les pratiques de webvise sont alignées sur les normes ISO 27001 et ISO 42001.