Résumé exécutif
Les outils d'IA agentique tels que OpenClaw (anciennement connu sous le nom de Clawdbot et Moltbot) représentent une nouvelle classe de menace pour les organisations ; brouillant les lignes entre l'activité utilisateur légitime et l'accès autonome non autorisé aux systèmes d'entreprise.
Les employés peuvent être attirés par la commodité perçue d'OpenClaw et les fonctionnalités d'assistant personnel telles que l'accès au courrier électronique, la planification du calendrier et la messagerie sans reconnaître pleinement les risques liés à l'octroi d'un accès en gros et non régulé aux données d'entreprise. Sans surveillance avancée et analyses en place, les équipes informatiques et de sécurité peuvent avoir du mal à distinguer le comportement humain légitime d'un agent OpenClaw agissant au nom de l'utilisateur, les deux accédant aux ressources d'entreprise par le biais des mêmes API authentifiées et sessions.
Cet avis décrit comment utiliser Jamf Security Cloud, Jamf Protect et Jamf Pro ensemble pour mettre en place une défense en profondeur contre l'utilisation non autorisée d'OpenClaw sur les appareils macOS gérés. Les contrôles couvrent le blocage au niveau du réseau, la prévention de l'exécution de binaires, l'analyse de détection des points de terminaison, la télémétrie SIEM, la détection basée sur l'inventaire et la suppression automatisée.
Aucun contrôle unique ne suffit en lui-même. Jamf recommande de déployer plusieurs des méthodes ci-dessous en combinaison pour une défense en profondeur.
Jamf Security Cloud - Filtrage et blocage du contenu
Jamf Security Cloud inclut des capacités de filtrage du contenu basé sur les catégories et de blocage réseau pour permettre aux organisations de surveiller et contrôler l'accès pour les catégories d'applications et de sites Web.
Les domaines courants suivants relatifs à OpenClaw sont désormais inclus dans la catégorie de filtrage du contenu « Autre IA générative » :
- openclaw.ai
- clawhub.ai
- open-claw.me
- molt.bot
- openclaw.bot
Les organisations qui souhaitent bloquer l'accès à OpenClaw et d'autres outils de cette catégorie peuvent Configurer une politique de filtrage du contenu dans la section Politiques de Jamf Security Cloud :
Remarque
Le blocage de cette catégorie atténuera la méthode d'installation la plus populaire en une ligne depuis le site Web d'OpenClaw, cependant les utilisateurs avancés peuvent toujours utiliser les instructions du référentiel GitHub pour installer directement via npm ou d'autres gestionnaires de paquets. À ce titre, envisagez ce contrôle et cette méthode de blocage en conjonction avec les autres contrôles de visibilité et de correction énumérés dans cet article.
Jamf Protect - Listes de prévention personnalisées (application compagnon OpenClaw)
OpenClaw prend en charge une application compagnon facultative pour macOS qui expose des outils supplémentaires basés sur la plateforme tels que l'accès à la caméra et à l'enregistrement d'écran à une instance de passerelle OpenClaw locale ou distante. Comme cette application compagnon est un binaire macOS signé, vous pouvez utiliser les Listes de prévention personnalisées dans Jamf Protect pour bloquer son exécution à l'exécution sur les appareils gérés.
Pour mettre en œuvre ce blocage ; dans le portail Jamf Protect, accédez à Threat Prevention > Custom Prevention Lists et cliquez sur Create Prevent List. Donnez à votre nouvelle liste un nom tel que « Block OpenClaw Companion App » et sélectionnez « Signing Information » comme type de prévention. Ensuite, choisissez l'une des méthodes de prévention suivantes (l'une ou l'autre est acceptable pour bloquer la variante actuelle de l'application) :
- Team ID :
Y5PE65HELJ - Signing ID :
bot.molt.mac
Cela entraînera le blocage de l'application compagnon au lancement et l'utilisateur verra une invite de blocage active :
Remarque
Les listes de prévention personnalisées sous Threat Prevention bloqueront l'exécution à l'exécution de l'application compagnon OpenClaw mais pas le binaire de passerelle OpenClaw et les LaunchAgents, car ils n'ont pas les identificateurs de signature requis. Cette méthode de prévention est utile pour s'assurer que les utilisateurs n'installent pas et n'exécutent pas l'application compagnon sur les appareils, mais elle n'est pas exhaustive pour bloquer OpenClaw sur macOS.
Jamf Protect - Analytiques personnalisées
Jamf a publié une série de Analytiques personnalisées de Jamf Protect pour aider les organisations souhaitant détecter l'installation, la persistance et l'invocation d'OpenClaw dans leur environnement. Ces analytiques personnalisées effectuent des détections de système de fichiers et de processus en utilisant le moteur d'analytiques basé sur des filtres de Jamf Protect pour détecter les artefacts OpenClaw sur un appareil et signaler par le biais des alertes Jamf Protect.
Les clients peuvent mettre en œuvre toutes les analytiques suivantes ou sélectionner un sous-ensemble en fonction de leurs exigences. Les analytiques sont également disponibles en tant que définitions YAML dans le référentiel GitHub des ressources Jamf Protect.
Comment créer une analytique personnalisée à partir du texte du filtre
- Dans le portail Jamf Protect, accédez à Configuration > Analytics et cliquez sur Create
- Définissez le Sensor Type sur la valeur spécifiée pour chaque analytique ci-dessous (système de fichiers ou processus)
- Dans la section Analytic Filter, passez à la Filter Text View
- Collez l'expression de filtre fournie en ligne ci-dessous
- Configurez la gravité et toutes les actions d'analytique souhaitées (telles que l'ajout d'appareils affectés à un groupe intelligent Jamf Pro)
Installation d'OpenClaw
| Champ | Valeur |
|---|---|
| Nom | OpenClawInstallation |
| Type de capteur | Process Event |
| Description | Détection des commandes d'installation d'OpenClaw à partir d'openclaw.ai. |
Contenu du filtre (vue texte) :
$event.type == 1 AND
$event.process.args.@count > 1 AND
(
(
(ANY $event.process.args CONTAINS[c] "npm") AND
(ANY $event.process.args BEGINSWITH "openclaw") AND
(
(ANY $event.process.args == "i") OR
(ANY $event.process.args == "install") OR
(ANY $event.process.args == "add") OR
(ANY $event.process.args == "in") OR
(ANY $event.process.args == "ins") OR
(ANY $event.process.args == "inst") OR
(ANY $event.process.args == "insta") OR
(ANY $event.process.args == "instal") OR
(ANY $event.process.args == "isnt") OR
(ANY $event.process.args == "isnta") OR
(ANY $event.process.args == "isntal") OR
(ANY $event.process.args == "isntall")
) AND
$event.process.path.lastPathComponent == "node"
) OR
(
(ANY $event.process.args BEGINSWITH "openclaw") AND
(ANY $event.process.args == "add") AND
$event.process.path.lastPathComponent == "pnpm"
)
)
Installation de compétences ClawHub
| Champ | Valeur |
|---|---|
| Nom | ClawHubSkillsInstall |
| Type de capteur | Process Event |
| Description | Détection des compétences installées à partir de ClawHub via les commandes npx, pnpm ou bun. |
Contenu du filtre (vue texte) :
$event.type == 1 AND
$event.process.args.@count > 1 AND
(
(
(
(
(ANY $event.process.args CONTAINS[c] "/npx") OR
(ANY $event.process.args CONTAINS[c] "/pnpm")
) AND
(ANY $event.process.args BEGINSWITH[c] "clawhub")
) OR
(
(ANY $event.process.args CONTAINS[c] "/bunx-") AND
(ANY $event.process.args CONTAINS[c] "/clawhub")
)
) AND
(ANY $event.process.args == "install") AND
$event.process.path.lastPathComponent == "node"
)
Intégration d'OpenClaw
| Champ | Valeur |
|---|---|
| Nom | OpenClawOnboard |
| Type de capteur | Process Event |
| Description | Détection de la commande d'intégration d'OpenClaw pour initier la configuration. |
Contenu du filtre (vue texte) :
$event.type == 1 AND
$event.process.args.@count > 1 AND
(
(ANY $event.process.args CONTAINS[c] "openclaw") AND
(ANY $event.process.args == "onboard")
) AND
$event.process.parent.path.lastPathComponent == "node"
Persistance de la passerelle OpenClaw
| Champ | Valeur |
|---|---|
| Nom | OpenClawGatewayPersistence |
| Type de capteur | File System Event |
| Description | Détection de la persistance de la passerelle d'OpenClaw (~/Library/LaunchAgents/ai.openclaw.gateway.plist). |
Contenu du filtre (vue texte) :
("LaunchDaemon" IN $tags OR "LaunchAgent" IN $tags) AND
$event.path.lastPathComponent BEGINSWITH "ai.openclaw."
Répertoire OpenClaw créé
| Champ | Valeur |
|---|---|
| Nom | OpenClawDirectoryCreated |
| Type de capteur | File System Event |
| Description | Détection du répertoire d'espace de travail masqué d'OpenClaw (.openclaw), créé lors de la configuration. |
Contenu du filtre (vue texte) :
$event.path MATCHES "\\/Users\\/[^\\/]+\\/\\.openclaw" AND
$event.isNewDirectory == 1
Jamf Protect - Contrôles avancés des menaces
L'une des techniques d'attaque potentielles découlant de l'utilisation d'OpenClaw sur macOS concerne les compétences malveillantes qui tentent de persuader les utilisateurs d'installer des logiciels malveillants et des infostealers sur leurs appareils.
Les Contrôles avancés des menaces de Jamf Protect sont conçus pour intervenir lorsqu'une activité dangereuse ou malveillante est détectée et fournissent une protection contre les techniques courantes directement observées dans les logiciels malveillants connectés à ces compétences malveillantes.
Les organisations peuvent activer à la fois les Contrôles avancés des menaces et la Prévention des menaces au point de terminaison dans Jamf Protect et choisir de Bloquer et signaler ou Signaler uniquement selon leur tolérance aux risques et leurs exigences opérationnelles.
Jamf Protect - Télémétrie
Les clients peuvent utiliser la Télémétrie Jamf Protect pour macOS pour collecter les données du journal des événements système et utilisateur et les envoyer à un SIEM ou un emplacement de stockage de leur choix.
L'équipe Jamf Threat Labs a créé une série de règles Sigma pour les commandes d'installation et d'invocation courantes d'OpenClaw qui peuvent être importées et utilisées dans de nombreuses solutions SIEM :
Référentiel : jamf/jamfprotect — agentic_detections (Télémétrie)
Au minimum, les appareils doivent être configurés pour la collecte de journaux « Applications et processus » dans le cadre d'un ensemble de télémétrie pour tirer parti de ces détections exec basées sur les processus.
Jamf Pro - Scripts de détection par attributs d'extension
Jamf a publié deux scripts d'attributs d'extension pour la détection basée sur l'inventaire d'OpenClaw :
- Attribut d'extension de détection d'OpenClaw - ce script d'attribut d'extension détectera diverses formes et artefacts d'OpenClaw, y compris les installations de site Web et npm, les agents de lancement de passerelle et les conteneurs Docker sur un appareil
- Attribut d'extension de détection de compétences installées d'OpenClaw - ce script d'attribut d'extension listera toutes les compétences actuellement installées dans les espaces de travail et sessions d'OpenClaw sur un appareil
Les compétences sont des fichiers basés sur markdown qui fournissent des instructions à un LLM/agent sur la façon d'accomplir une certaine tâche telle que l'accès à une API ou l'utilisation d'une application au nom de l'utilisateur. Les organisations qui permettent OpenClaw peuvent souhaiter rapporter séparément quelles compétences sont utilisées ou peuvent souhaiter auditer séparément les compétences malveillantes spécifiques.
Chaque script peut être ajouté comme un Attribut d'extension informatique dans Jamf Pro pour signaler la présence d'OpenClaw et de ses compétences installées dans le cadre des politiques de mise à jour d'inventaire standard.
Les détails de détection incluent les utilisateurs et espaces de travail pour lesquels OpenClaw est détecté, l'état d'exécution actuel de la passerelle et une liste des compétences actuellement installées ou utilisées :
Pour les clients souhaitant poursuivre la correction automatisée ; la détection par ces attributs d'extension peut être utilisée comme base d'un prédicat Groupe intelligent Jamf Pro pour ensuite déclencher une politique de correction automatisée sur les appareils.
Jamf Pro - Correction et suppression via politique
Une fois qu'OpenClaw a été détecté sur un appareil, les organisations peuvent souhaiter mettre en œuvre une correction et une suppression manuelles ou automatisées. La capacité de Jamf Pro à exécuter des scripts basés sur une politique offre une flexibilité dans la façon dont la correction s'effectue et peut être intégrée aux attributs d'extension Jamf Pro ou aux analytiques personnalisées Jamf Protect (avec correction analytique) pour effectuer la suppression basée sur la politique automatisée avec des pistes d'audit et d'enregistrement claires.
Jamf a créé un script de suppression d'OpenClaw capable de supprimer diverses formes d'installation d'OpenClaw sur macOS. À l'heure actuelle, cela inclut la suppression de :
- Les binaires installés à l'aide de la commande d'installation en une ligne basée sur
curldepuis openclaw.ai - Les binaires installés à l'aide des gestionnaires de paquets npm, pnpm et bun
- L'application compagnon macOS OpenClaw
- Les images Docker et les conteneurs correspondant au nommage
openclaw - Le service de passerelle et le LaunchAgent
- Le répertoire de travail/espace de travail
.openclawpour chaque utilisateur
Pour configurer la correction et la suppression d'OpenClaw à l'aide de Jamf Pro, vous pouvez créer une nouvelle politique et un script et attribuer son étendue aux ordinateurs manuellement ou via un groupe intelligent basant son adhésion sur l'un des mécanismes de détection énumérés ci-dessus.
Remarque
Le script openclaw_removal.sh a été créé et fourni pour faire un meilleur effort dans la suppression des formes les plus courantes de l'itération actuelle d'OpenClaw et de ses artefacts au moment de la rédaction. Il n'est pas exhaustif dans la suppression de toutes les formes d'OpenClaw (comme les installations basées sur le code source) ou les installations où un utilisateur a délibérément camouflé la présence d'OpenClaw (comme la modification des noms binaires ou de répertoires, etc.). Les soins doivent être pris à mesure que ces outils évoluent pour assurer que la suppression est correctement validée à l'aide d'autres méthodes de détection.
Remarque
Une fois qu'OpenClaw a été détecté et supprimé d'un système, d'autres étapes de correction post-suppression peuvent être nécessaires. Envisagez si vous devez révoquer les jetons ou sessions pour tous les services connectés (tels que Google/Gmail, Microsoft, GitHub) ou tout fournisseur d'inférence ou LLM d'entreprise (Anthropic, OpenAI, etc.)
Références et lectures complémentaires
Documentation Jamf
- Filtrage du contenu — Catégories de sites disponibles
- Configuration de votre politique de filtrage du contenu
- Listes de prévention personnalisées
- Création d'analytiques
- Contrôles avancés des menaces
- Prévention des menaces au point de terminaison
- Télémétrie
- Création d'un ensemble de télémétrie
- Attributs d'extension informatique (Jamf Pro)
- Groupes intelligents (Jamf Pro)
- Scripts (Jamf Pro)
Ressources GitHub Jamf
- Détections analytiques personnalisées — Détections agentiques
- Règles Sigma de télémétrie — Détections agentiques
- Attribut d'extension — Détection d'OpenClaw
- Attribut d'extension — Détection de compétences installées d'OpenClaw
- Script de suppression — OpenClaw
Ressources externes
- OpenClaw
- GitHub d'OpenClaw
- Documentation de l'application compagnon OpenClaw pour macOS
- Jamf Threat Labs
- Documentation des règles Sigma
- AgentSkills.io — Répertoire des compétences
- Les compétences ClawHub malveillantes se cachent à la vue (OpenSourceMalware)
- De la magie au malware — Comment les compétences d'agent OpenClaw deviennent une surface d'attaque (1Password)