Meilleure façon de désinstaller complètement OpenClaw et de rechercher des logiciels malveillants 2026

CometAPI
AnnaMar 14, 2026
Meilleure façon de désinstaller complètement OpenClaw et de rechercher des logiciels malveillants 2026

OpenClaw, un framework d’agents IA natif et open source qui a rapidement gagné en popularité fin 2025/début 2026, est désormais devenu un risque de sécurité : des gouvernements et des entreprises ont commencé à mettre en garde les utilisateurs contre l’usage non restreint d’OpenClaw en raison de rapports continus de vulnérabilités de sécurité, de « skills » tiers malveillants, de faux installateurs diffusant des malwares et de vulnérabilités à haut risque pouvant conduire à une exécution de code à distance ou au vol de jetons. En mars 2026, le gouvernement chinois a demandé aux départements d’éviter d’installer OpenClaw sur les appareils de travail. Dans ces circonstances, les utilisateurs et les administrateurs doivent être prudents lors de la suppression d’OpenClaw et vérifier que la suppression est complète.

Feuille de route rapide : ce que vous allez apprendre — ce qu’est OpenClaw, pourquoi sa suppression est importante, pourquoi certaines désinstallations sont incomplètes, les commandes et vérifications exactes pour chaque OS, comment trouver et nettoyer les secrets restants, et comment réinstaller en toute sécurité si vous décidez de réessayer.

Qu’est-ce qu’OpenClaw ?

OpenClaw est un framework d’agents open source et une CLI qui permet d’exécuter localement des flux de travail d’IA autonomes/agentiques. Il a gagné en traction car il peut orchestrer des tâches — du tri d’e-mails à l’automatisation planifiée en passant par l’exécution de modèles de langage locaux — avec un minimum de configuration. Parce qu’il requiert souvent un large accès aux fichiers et au réseau (fichiers locaux, services système, API cloud), il est puissant — et donc potentiellement risqué en cas de mauvaise configuration ou d’exploitation.

Points techniques clés à connaître :

  • OpenClaw s’exécute couramment comme un service d’arrière-plan (« gateway » ou « agent ») et expose un serveur local (HTTP/WebSocket) pour son interface et ses intégrations.
  • Les méthodes d’installation varient : packages globaux npm/pnpm/bun, installateurs téléchargeables (macOS .dmg/.app, Windows .exe), images de conteneurs et binaires tiers reconditionnés.
  • Il stocke par défaut un état persistant et des informations d’identification (espaces de travail, fichiers de configuration, jetons, journaux) dans les répertoires du profil utilisateur (par exemple, ~/.openclaw ou %LOCALAPPDATA%\OpenClaw).
  • Comme il peut conserver des informations d’identification de longue durée et accepter des requêtes distantes sur localhost, une instance OpenClaw vulnérable ou malveillante peut exposer des secrets ou servir de mécanisme de persistance pour des attaquants.

Pourquoi craint-on qu’OpenClaw ne soit pas entièrement supprimé ?

Désinstaller une CLI ou une application n’élimine pas nécessairement : services/daemons en cours d’exécution, tâches planifiées, clés de registre, fichiers résiduels (avec des jetons enregistrés), extensions de navigateur, agents persistants au niveau machine, ou malwares tiers ayant exploité le nom OpenClaw.

La désinstallation des plateformes d’agents modernes comporte deux volets : supprimer les binaires/services locaux et couper l’accès à distance. Les modes d’échec courants incluent :

  1. Répertoires d’état et secrets résiduels. La commande de désinstallation officielle (lorsqu’elle existe) se concentre sur la suppression de l’exécution, mais les répertoires d’état locaux (par ex. configuration utilisateur, profils, caches de jetons) restent souvent. Si un utilisateur désinstalle via npm uninstall -g ou supprime le binaire manuellement, ces répertoires persistent et stockent des clés API, des jetons ou des cookies de session. Des chercheurs en sécurité ont montré que la désinstallation via la CLI peut laisser ~/.clawdbot ou ~/clawdbot/ si des chemins de suppression alternatifs sont utilisés.
  2. Services d’arrière-plan qui survivent. Sur macOS, des LaunchAgents utilisateur (par ex., ai.openclaw.gateway) peuvent rester enregistrés ; sur Linux, des services systemd utilisateur peuvent persister ; sur Windows, des tâches planifiées ou des entrées de démarrage dans le profil utilisateur peuvent maintenir des composants actifs. S’ils ne sont pas nettoyés, la passerelle peut redémarrer ou au moins bloquer les tentatives de réinstallation.
  3. Jetons distants et intégrations. Même avec une suppression locale parfaite, OpenClaw peut avoir émis des jetons de longue durée ou des sessions OAuth vers des services tiers. Ces jetons restent valides jusqu’à révocation ou rotation explicite. Supprimer le client local ne révoque rien.
  4. Artefacts Docker / WSL / VM. De nombreux utilisateurs exécutent OpenClaw dans des conteneurs Docker, des instances WSL2 ou des VPS. Désinstaller le binaire hôte ne supprime pas les conteneurs, volumes ou images qui contiennent des données. De même, des instantanés cloud ou des sauvegardes automatisées peuvent conserver des données sensibles.

En raison de ces couches, je recommande un processus prudent et reproductible : désinstaller via la méthode officielle si disponible, lister et supprimer les fichiers résiduels et les services d’arrière-plan, puis faire tourner/révoquer chaque information d’identification touchée par OpenClaw.

Comment désinstaller complètement OpenClaw — étape par étape

Important — préambule : si vous suspectez une compromission (malware installé, connexions réseau inconnues, jetons divulgués), isolez le système (déconnectez-le du réseau) avant d’effectuer des étapes de désinstallation en direct pour éviter toute exfiltration pendant la suppression. Envisagez une capture médico-légale s’il s’agit d’un appareil géré/entreprise. Les étapes ci-dessous sont exhaustives ; choisissez celles qui s’appliquent à votre mode d’installation. Utilisez des privilèges administrateur/root lorsque nécessaire.

Résumé du processus complet de suppression (liste de contrôle rapide)

  1. Pause & isolation : déconnectez l’hôte des réseaux (ou bloquez le port de la passerelle) si vous suspectez une compromission.
  2. Désinstallation officielle : openclaw uninstall (CLI) + suppression du package global.
  3. Arrêt/suppression des services : systemd/launchd/schtasks/services.
  4. Suppression de l’état et des espaces de travail : ~/.openclaw, ~/.clawdbot, /var/lib/openclaw, /Applications/OpenClaw.app, etc.
  5. Révocation & rotation des informations d’identification : clés API, jetons OAuth, secrets de webhook utilisés par OpenClaw.
  6. Chasse à la persistance & aux malwares : lancez des scans AV/anti-malware, inspectez cron, tâches planifiées, clés d’exécution automatique et PATH système.
  7. Vérification : confirmez qu’aucun port n’est ouvert, qu’aucun processus ne tourne, qu’aucun fichier ni aucune information d’identification ne subsistent. (Voir les commandes de vérification ci-dessous).
  8. Optionnel : réinstallez prudemment dans un environnement sandboxé (VM cloud / conteneur) seulement après avoir confirmé le nettoyage et le durcissement.

Commandes et principes généraux (s’applique à toutes les plates-formes)

  1. Exécutez d’abord la commande de désinstallation officielle (si disponible) :
# Official CLI uninstall (recommended)openclaw uninstall

Si openclaw uninstall est disponible, cela supprimera le service de passerelle et proposera de supprimer l’état/la configuration. Lisez toujours les invites ; si vous souhaitez un mode non interactif :

openclaw uninstall --all --yes --non-interactive

(Docs officielles : le flux d’installation/désinstallation utilise des packages globaux npm/pnpm/bun).

  1. Supprimez le package CLI global (selon votre méthode d’installation) :
# npmnpm rm -g openclaw# pnpmpnpm remove -g openclaw# bunbun remove -g openclaw

(Si vous avez installé depuis les sources, supprimez le dépôt et tout lien symbolique créé.)

  1. Supprimez les répertoires d’état/configuration/espaces de travail (chemins courants ; adaptez si vous avez personnalisé) :
rm -rf "${OPENCLAW_STATE_DIR:-$HOME/.openclaw}"rm -rf "$HOME/.clawdbot"rm -rf "$HOME/.openclaw/workspace"# macOS apprm -rf /Applications/OpenClaw.app

(Les recommandations officielles et celles de la communauté préconisent de supprimer le répertoire d’état et l’espace de travail pour éliminer les modèles, journaux et identifiants stockés).

  1. Révoquez et faites tourner les clés API & jetons OAuth utilisés par l’agent : clés OpenAI/Anthropic, bots Slack, bots Telegram, Gmail/Google OAuth, Zapier, etc. En cas de doute, faites tourner les clés des services sensibles et inspectez les journaux pour détecter toute activité suspecte.

Chasse aux éléments malveillants résiduels (en cas d’installation compromise)

Si un faux installateur ou un « skill » malveillant a installé du malware supplémentaire, supprimer le runtime OpenClaw est nécessaire mais insuffisant. Recherchez :

  • Comptes utilisateurs, cron jobs, tâches planifiées ou clés SSH inattendus.
  • Nouvelles unités systemd ou plists launchd non supprimés par la désinstallation.
  • Connexions réseau inhabituelles (ss, netstat, lsof), en particulier vers des IP inconnues.
  • Processus avec des relations parent/enfant anormales.
  • Anomalies du système de fichiers (fichiers récemment modifiés dans /tmp, /var/tmp, %APPDATA%).
  • Fichiers indicateurs connus de campagnes signalées (vérifiez les IoC des fournisseurs — par ex., Huntress, billets de blogs des éditeurs).

Si vous trouvez d’autres malwares, arrêtez-vous et traitez cela comme un incident de sécurité : préservez les journaux, capturez la mémoire si possible et suivez les procédures de réponse aux incidents de votre organisation.

Différences de désinstallation : macOS vs Windows vs Linux (comparatif court)

  • macOS — utilise launchd/LaunchAgents et des bundles d’apps macOS. Les apps installées en .app peuvent laisser des plists et des entrées cron. Les permissions et les agents de lancement au niveau utilisateur sont des points de persistance fréquents. (Commandes : launchctl, rm -rf /Applications/*, ps/lsof).
  • Windows — utilise des services, tâches planifiées et clés de registre Run. Les installateurs Windows malveillants ajoutent souvent des services ou des tâches planifiées qui s’exécutent après la suppression si on les laisse. (Commandes : Get-Service, Get-ScheduledTask, inspection du registre).
  • Linux — souvent exécuté en service systemd ou dans Docker. Les installations par défaut sur serveurs peuvent se lier à une interface et être accessibles publiquement ; vérifiez systemctl, docker, ss. Les serveurs sont les plus susceptibles aux expositions à grande échelle.

Suppression des secrets et révocation des accès (critique)

Même après suppression des fichiers, des jetons ou comptes de service stockés chez d’autres fournisseurs cloud ou tableaux de bord tiers restent valides. Considérez-les comme compromis jusqu’à rotation.

Actions :

  1. Identifiez les fournisseurs connectés et les jetons. Inspectez ~/.openclaw/config, ~/.openclaw/credentials, les fichiers d’espace de travail ou les fichiers de variables d’environnement utilisés par OpenClaw. Recherchez des mots-clés probables :
# Unix example: search for lines that look like API keys
grep -RiE "(api(_)?key|token|authorization|bearer)" ~/.openclaw || true
  1. Révoquez et faites tourner les clés API dans chaque tableau de bord fournisseur. Connectez-vous (OpenAI, Anthropic, fournisseurs cloud) et révoquez les clés utilisées par OpenClaw ; créez-en de nouvelles si nécessaire et retirez-les de tous les fichiers de configuration.
  2. Réinitialisez les mots de passe et faites tourner les identifiants de service lorsqu’un même identifiant a pu être réutilisé ailleurs.
  3. Vérifiez les secrets dans vos gestionnaires de mots de passe (1Password, Bitwarden, etc.) pour des entrées OpenClaw obsolètes et supprimez/rotations-les.

L’analyse de sécurité des traces de désinstallation a montré que les jetons et identifiants résiduels constituent le risque principal — leur révocation et rotation sont des étapes obligatoires d’une désinstallation « complète ».

Comment désinstaller OpenClaw sur Windows

Arrêter tout processus de passerelle ou d’application

# find processesps aux | grep -i openclaw# if you see PID 1234kill 1234

Désinstaller les agents de lancement / service launchd

# list possible launch agentslaunchctl list | grep -i openclaw# unload example (adjust label)sudo launchctl bootout system /Library/LaunchDaemons/com.openclaw.gateway.plist

Supprimer l’app & la CLI

# If installed as macOS apprm -rf /Applications/OpenClaw.app# remove state and CLIrm -rf ~/.openclawnpm rm -g openclaw

Rechercher des installateurs malveillants / autres mécanismes de persistance

  • Inspectez ~/Library/LaunchAgents, /Library/LaunchDaemons et /etc/paths.d.
  • Vérifiez crontab -l pour des tâches planifiées.
  • Utilisez lsof -i :<gateway_port> pour voir si un processus écoute sur le port d’OpenClaw (le port par défaut de la passerelle peut varier).

Vérifier

# No listening gateway port (example port 3000)lsof -iTCP -sTCP:LISTEN -P | grep 3000 || echo "gateway not listening"# No processesps aux | grep -i openclaw || echo "no openclaw process"

Comment désinstaller OpenClaw sur Linux (systemd / Debian / RPM / conteneur)

Étapes générales : arrêter l’unité systemd, supprimer le fichier d’unité, désinstaller le package/npx, supprimer l’état, retirer les entrées crontab, supprimer les images de conteneurs si utilisées.

Arrêter et désactiver le service

sudo systemctl stop openclaw-gateway.service
sudo systemctl disable openclaw-gateway.service

Si le nom de service diffère, localisez-le :

systemctl list-units --type=service | grep -i openclaw

Supprimer le fichier de service systemd (si installé)

sudo rm -f /etc/systemd/system/openclaw-gateway.service
sudo systemctl daemon-reload

Supprimer le package / package global npm

# if installed via npm/pnpm/bun:
npm uninstall -g openclaw
pnpm remove -g openclaw
bun remove -g openclaw

# if installed as a system package, use apt/dnf
sudo apt remove openclaw   # hypothetical; confirm package name

Supprimer l’état/configuration/espaces de travail

rm -rf "${OPENCLAW_STATE_DIR:-$HOME/.openclaw}"
rm -rf /var/lib/openclaw  # if system-wide state
rm -rf /etc/openclaw      # if config stored here

Vérifier les sockets/processus à l’écoute

ss -ltnp | grep -i openclaw || true
ps aux | grep -i openclaw || true

Conteneurs :
Si vous l’avez exécuté via Docker/Podman :

docker ps -a | grep openclaw
docker rm -f <container-id>
docker images | grep openclaw
docker rmi <image-id>

Comment désinstaller OpenClaw sur Windows (PowerShell / Services / Planificateur de tâches)

Étapes générales : arrêter le service Windows ou le processus, supprimer les tâches planifiées, désinstaller MSI/exe, désinstaller le package npm, supprimer l’état sous %APPDATA%, nettoyer les clés de registre si présent, et lancer un scan anti-malware.

Arrêter le processus et le service

Ouvrez PowerShell en tant qu’administrateur :

# find process
Get-Process -Name *openclaw* -ErrorAction SilentlyContinue

# if it's a service, stop it (replace service name if different)
Stop-Service -Name "OpenClawGateway" -Force -ErrorAction SilentlyContinue

Supprimer le service via sc.exe (si nécessaire)

sc.exe queryex OpenClawGateway
sc.exe stop OpenClawGateway
sc.exe delete OpenClawGateway

Supprimer les tâches planifiées

Get-ScheduledTask | Where-Object {$_.TaskName -like '*openclaw*'} | Format-Table TaskName, TaskPath
Unregister-ScheduledTask -TaskName "OpenClawTask" -Confirm:$false

Désinstaller les binaires

  • Si installé via un installateur Windows : Paramètres → Applications → Applications et fonctionnalités → rechercher « OpenClaw » → Désinstaller.
  • Si installé via npm :
npm uninstall -g openclaw
pnpm remove -g openclaw
bun remove -g openclaw

Supprimer les répertoires d’état/configuration

Remove-Item -Recurse -Force "$env:LOCALAPPDATA\OpenClaw"
Remove-Item -Recurse -Force "$env:USERPROFILE\.openclaw"

Rechercher des artefacts sur le disque

Get-ChildItem -Path C:\ -Include *openclaw* -File -Recurse -ErrorAction SilentlyContinue | Select-Object FullName -First 200

Vérifier les ports à l’écoute et connexions réseau

# list listening ports and owning process IDs
netstat -ano | Select-String ':LISTEN' | Select-String 'openclaw' -Context 0,1

Nettoyage du registre (avancé)

Si vous trouvez des clés laissées par les installateurs pour la persistance, sauvegardez d’abord le registre, puis supprimez avec précaution les clés sous HKLM\Software\ ou HKCU\Software\ correspondant à OpenClaw. N’effectuez des modifications du registre que si vous êtes à l’aise — sinon, sollicitez l’IT ou les équipes d’intervention.

Pourquoi la réinstallation peut échouer et comment dépanner

Si les tentatives de réinstallation échouent (par ex., erreurs openclaw onboard, échec de gateway install, ou l’interface ne démarre jamais), les raisons fréquentes sont :

  1. Entrées de service résiduelles qui bloquent les nouvelles installations. D’anciens LaunchAgents, unités systemd ou tâches planifiées peuvent entrer en conflit. Supprimez-les (voir vérifications ci-dessus) avant de réinstaller.
  2. Ports déjà liés. La passerelle lie des ports WebSocket/écoute ; un processus ou conteneur fantôme peut les garder ouverts. Utilisez lsof -i / netstat -tulpn pour identifier les gagnants et arrêtez-les.
  3. Environnement node/pnpm cassé. OpenClaw dépend parfois de Node/Bun/pnpm — assurez-vous que votre gestionnaire de packages et vos runtimes sont corrects, et que PATH pointe vers la version attendue. L’installation via la méthode recommandée (dans WSL pour Windows, ou via l’app macOS native) réduit les frictions.
  4. Permissions/TCC manquantes sur macOS. Sur macOS, l’app a besoin des permissions Accessibilité / Enregistrement d’écran / Microphone pour exposer certaines capacités node. Si elles sont bloquées ou dans un mauvais état, l’app peut ne pas démarrer. Utilisez tccutil et Réglages Système pour vérifier.
  5. Profils de configuration restants avec des noms de profil non concordants (variable d’environnement OPENCLAW_PROFILE). Assurez-vous qu’aucune variable d’environnement n’impose un profil nommé qui n’existe plus.

Commandes de dépannage

# find processes using likely ports (example 3000/8080)
sudo lsof -iTCP -sTCP:LISTEN -P -n | grep -E "3000|8080|openclaw" || true

# check journal logs (systemd)
journalctl --user -u ai.openclaw.gateway.service -b | tail -n 200

# on macOS, check Console or syslog for launchd errors:
log show --predicate 'process == "openclaw" OR process == "launchd"' --last 1h

Si la réinstallation échoue toujours, collectez les journaux (openclaw doctor ou openclaw status --all), et si vous suspectez une compromission antérieure, privilégiez une réinstallation propre de l’OS ou une image médico-légale et consultez votre équipe sécurité.

Conclusion

OpenClaw illustre la puissance des outils d’agents locaux — mais cette même puissance rend le nettoyage et la remédiation de sécurité subtils. Une « désinstallation complète » va au-delà de la suppression d’une app ; il s’agit d’arrêter les services, de supprimer tout l’état, de révoquer les identifiants et de vérifier que le système est propre. Utilisez l’outil de désinstallation officiel quand c’est possible, mais suivez la checklist manuelle ci-dessus pour couvrir les cas limites — surtout si vous avez installé via des sources tierces.

CometAPI s’intègre désormais avec openclaw. Si vous recherchez des API prenant en charge Claude, Gemini et la série GPT-5, CometAPI is the best choice for using openclaw, and its API price is continuously discounted.). OpenClaw a récemment mis à jour sa compatibilité avec GPT-5.4 et optimisé son workflow. Vous pouvez désormais aussi configurer OpenClaw via le GPT-5.4 de CometAPI.

Ready to Go?

Accédez aux meilleurs modèles à moindre coût

En savoir plus