Installer OpenClaw : Exécuter un assistant IA Telegram sur un VPS (en toute sécurité)
Je voulais un agent qui ne se contente pas de « discuter », mais qui puisse réellement exécuter des tâches lorsque je suis hors ligne, sans avoir à laisser mon propre ordinateur portable fonctionner 24h/24 et 7j/7. OpenClaw: un agent open source qui vous parle via des applications de chat (Telegram, Slack, Discord, etc.) et peut exécuter des actions en arrière-plan.
Pourquoi « OpenClaw » apparaît après plusieurs réorientations de marque
Le projet a connu des changements de nom rapides (Claudbot → Moltbot → OpenClaw). Des rapports ont lié cela à une pression liée aux marques/noms et à la confusion de la marque dans l'écosystème, c'est pourquoi vous verrez encore d'anciens noms dans les tutoriels et les clips. (Business Insider).
Règle pratique : installer et mettre à jour à partir de sources canoniques uniquement — commencer par le site officiel et vérifier par rapport au dépôt GitHub officiel.
Conceptuellement, OpenClaw est une passerelle : elle connecte votre fournisseur de modèles, vos « compétences/outils » et votre canal de chat en un seul environnement d'exécution contrôlable. Le flux de base est décrit dans le documentation pour commencer.
Source: YouTube
Installer OpenClaw sur un VPS
Un VPS est généralement un terrain d'entente propre : toujours en ligne, séparé de votre machine personnelle et plus facile à verrouiller. Le mode de défaillance récurrent est d'exposer un port de passerelle/tableau de bord sur Internet public : traitez cela comme un service de production dès le premier jour. La liste de contrôle de sécurité dans le documentation de sécurité officielle vaut la peine d'être parcourue avant même de commencer.
1) Installation + assistant d'intégration
La documentation officielle décrit un flux d'intégration axé sur l'interface en ligne de commande et indique « démarrer » comme chemin de base : docs.openclaw.ai/start/getting-started. Le fichier README GitHub fait également référence à l'intégration et aux exigences d'exécution : README.md.
# Exemple d'installation via script d'installation\n# N'exécutez les scripts qu'à partir de domaines en lesquels vous avez explicitement confiance.\ncurl -fsSL https://openclaw.ai/install.sh | bash\n\n# Démarrer l'assistant d'intégration\nopenclaw onboard
Si vous préférez un chemin d'installation basé sur un emballage, le projet est publié sur npm : npmjs.com/package/openclaw.
2) Connecter Telegram (BotFather + jeton)
Telegram est une victoire rapide car vous avez principalement besoin d'un jeton de bot. La documentation du canal Telegram d'OpenClaw décrit la configuration et l'appairage d'accès basés sur les jetons comme un contrôle de sécurité par défaut : docs.openclaw.ai/channels/telegram. Vous créez le bot et obtenez le jeton via les paramètres officiels de Telegram @BotFather.
# Stocker le jeton comme variable d'environnement\nexport TELEGRAM_BOT_TOKEN="123456789:ABCdefGHIjklMNOpqrsTUVwxyz"\n\n# Démarrer/inspecter votre configuration (selon la façon dont vous exécutez OpenClaw)\nopenclaw dashboard
Lorsque vous envoyez un message à votre bot pour la première fois, OpenClaw peut le bloquer jusqu'à ce que l’accès soit appairé. Vous recevrez un code d’appairage et devrez l’approuver sur le serveur, comme indiqué dans la documentation du canal Telegram : Flux d'appairage.
# Approuver le code d'appairage (reçu sur Telegram)\nopenclaw pairing approve telegram <PAIRING_CODE>
Source: YouTube
Activer la recherche web (API Brave Search) et créer des automatisations
La recherche web est là où un agent commence à se sentir « vivant » – et là où vous devez faire attention à la qualité des entrées. Brave documente la création de clés API dans ses guides officiels : Guide de démarrage rapide et Authentification.
# Configurer la section "web" et entrer votre clé API Brave Search\nopenclaw configure --section web\n\n# Exemples d'invites que vous pouvez exécuter après cela :\n# - "Suivre le ratio argent vs NVIDIA chaque semaine"\n# - "Alertez-moi si l'indice Pizza du Pentagone augmente"
Pour les tâches récurrentes, OpenClaw documente les Cron Jobs comme mécanisme d'automatisation intégré : docs.openclaw.ai/automation/cron-jobs. Gardez les tâches petites et spécifiques : « vérifier X et me prévenir si la condition Y est vraie » est plus évolutif que « surveiller tout ».

Source: Capture d’écran : Telegram
Flux typique : /newbot → nom/nom d'utilisateur → jeton. Ne collez jamais le jeton brut dans des chats publics, des captures d'écran ou des référentiels.

Source: Illustration personnelle
Si vous ne faites qu'une seule chose : n’exposez pas la passerelle publiquement, faites respecter l’appairage/les listes autorisées et chargez uniquement les compétences dont vous avez réellement besoin.
Ligne de base de sécurité qui compte vraiment
OpenClaw peut exécuter des actions : traitez-le donc comme un composant système privilégié. La documentation de sécurité officielle souligne les services exposés, l’accès trop large et les extensions non sécurisées : docs.openclaw.ai/gateway/security. Le guide de DigitalOcean met également en évidence le risque opérationnel de donner aux agents un accès significatif aux systèmes. digitalocean.com/community/tutorials/how-to-run-openclaw.
Étapes de durcissement que vous pouvez appliquer immédiatement
- L'appairage est non négociable : l'accès imposé fait partie de la conception du canal Telegram (Appairage Telegram).
- N’associez pas publiquement les points d’extrémité du tableau de bord/de la passerelle : cela est explicitement abordé dans Conseils de sécurité.
- Protéger les secrets : les jetons/clés API ne doivent pas se retrouver dans les journaux, les captures d’écran ou l’historique git (Notes sur la gestion des secrets).
- Charger uniquement les extensions de confiance : examiner le code source avant d’activer des plugins (Sécurité des extensions).
- S’attendre à une usurpation d’identité après les réorientations de marque : Malwarebytes décrit les typosquatting et les référentiels clonés utilisés pour les attaques sur la chaîne d’approvisionnement autour des changements de nom. (Analyse de Malwarebytes).
# Notes de base pratiques (conceptuelles)\n# 1) Clé SSH uniquement, pare-feu activé, ports ouverts minimaux\n# 2) NE PAS exposer publiquement les tableaux de bord\n# 3) Telegram : appairage + utilisateurs autorisés uniquement\n# 4) Les secrets ne se retrouvent jamais dans git/logs/captures d’écran\n# 5) Installer/mettre à jour uniquement à partir de sources canoniques :\n# - openclaw.ai\n# - docs.openclaw.ai\n# - github.com/openclaw/openclaw
Guide rapide de prise de décision : machine locale, VPS ou serveur dédié
| Option | Idéale pour | Pièges courants | Conseil pratique |
|---|---|---|---|
| Locale (ordinateur portable/PC) | Tests rapides, apprentissage, courtes démonstrations | L’agent voit les fichiers/clés personnels, les privilèges augmentent | Utiliser un utilisateur/VM distinct et un nombre minimal de compétences |
| VPS | Assistant 24 heures sur 24 et 7 jours sur 7, isolation propre, déploiement reproductible | Passerelle accidentellement exposée, mauvaise gestion des secrets | Pare-feu + appairage + « compétences minimales » par défaut |
| Serveur dédié (mini serveur) | Contrôle total, matériel stable, réseau privé | Mises à jour/surveillance oubliées, mauvaise discipline de sauvegarde | Automatiser les mises à jour et une surveillance de base dès le début |
Source: YouTube
Commencez petit, verrouillez et développez ensuite
Une fois que cela fonctionne, il est tentant de tout connecter. Vous obtenez généralement de meilleurs résultats en commençant par un canal (Telegram), une courte liste de compétences, un appairage/liste autorisée stricte et en activant ensuite la recherche web + les tâches planifiées. Cette séquence s’aligne sur l’intention des notes de sécurité OpenClaw.
Les réorientations de marque attirent souvent les escrocs. Malwarebytes documente les typosquatting et les infrastructures clonées à la suite des changements de nom. (Analyse de Malwarebytes). L'habitude ennuyeuse qui vous sauve : vérifiez le domaine, vérifiez le dépôt et supposez que tout jeton divulgué sera abusé.