Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
Hier — 16 mai 2026Flux principal

How to Install OpenClaw on a UGREEN NAS & Setup Your AI Assistant

✇NAS Compares
Par : Rob Andrews
15 mai 2026 à 18:00

UGREEN NAS and OpenClaw – How to Install it, Setup Your AI and Understanding The Risks!

OpenClaw has now moved from a manual self-hosted setup into the UGREEN UGOS Pro App Center, making it possible to install the assistant gateway directly on supported UGREEN NASync systems rather than building it manually through a VM, terminal commands, or a separate always-on PC. In practical terms, OpenClaw is not the AI model itself. It is the local assistant layer that connects your NAS, files, tools, skills, and messaging channels to an LLM such as OpenAI, Gemini, DeepSeek, MiniMax, OpenRouter, or a local model where supported. This matters because a NAS is where many users already keep their long-term data, backups, media, documents, and project files, but it also means OpenClaw needs to be treated as a privileged automation tool rather than a simple chatbot. The App Center version lowers the installation barrier, but the real value and the real risk both come from what you allow it to access, what model you connect it to, and which skills or messaging channels you enable.

Security Considerations Before Giving OpenClaw NAS Access

OpenClaw should be approached as a privileged automation layer, not as a normal chat assistant. On UGREEN NAS, it runs through Docker and is designed to read, write, delete, move files, publish messages, and execute system-level operations depending on what folders, skills, and channels you enable. UGREEN’s own notes state that the application runs inside a Docker container with root privileges, which is necessary for broad automation but also increases the potential damage from incorrect commands, poor configuration, compromised plugins, or prompt-injection style attacks. The main rule before installation is therefore straightforward: do not give OpenClaw access to anything you are not prepared for it to modify, and make sure you have a working backup before testing it on real data.

The risks increase further if you connect OpenClaw to a remote LLM provider or public messaging platform. When using OpenAI, Gemini, MiniMax, DeepSeek, OpenRouter, or similar services, your prompts, file context, directory details, task instructions, logs, or extracted content may be sent outside the NAS depending on the action being performed. OpenClaw’s own GitHub description warns that real messaging surfaces should be treated as untrusted inputs, and recent reporting has also highlighted malicious third-party OpenClaw skills that attempted to steal credentials, wallet data, and browser information. For NAS use, the safest starting point is to use a test folder, avoid private or business-critical data, do not expose the service directly to the public internet, install only trusted skills, and treat WhatsApp, Telegram, Discord, Slack, or similar integrations as external access points into your NAS assistant.

Preparing Folders and Installing OpenClaw from UGOS Pro

Before installing OpenClaw, create the folders it will use and decide how much of the NAS it should be allowed to see. In Files, either create a dedicated shared folder or a personal folder for OpenClaw’s workspace, for example openclaw-data or openclaw-workspace. This should ideally be an empty folder, as it will be used for temporary files, generated content, working data, and task execution. Separately, create or identify the folder that OpenClaw will be allowed to access for real NAS file operations. For first-time testing, this should be a limited test directory rather than a folder containing live backups, sensitive documents, business files, or irreplaceable media. The workspace path and file access path should not overlap, and the access path should not sit inside the workspace folder. UGREEN also notes that Docker should be installed and updated first, as OpenClaw relies heavily on the Docker container environment.

Once the folders are ready, open App Center in UGOS Pro, find OpenClaw under the app list, and select Install. During the installation wizard, set the Workspace path to the empty folder created for OpenClaw’s internal working area, then set the File access path to the NAS folder or folders that the assistant is permitted to read or modify. Multiple access paths can be added, but this should be done deliberately, as these paths define the practical scope of what OpenClaw can act on. Next, create a Gateway token, which will be required when signing in to the OpenClaw web interface. After reviewing the risk notice, tick the confirmation box and start the installation. The package is installed through the App Center, but it still deploys and runs through Docker in the background, so installation time will depend on NAS performance, internet connection speed, and the state of the Docker environment. OpenClaw’s own Docker documentation also describes the gateway token and container-based control UI as central parts of the deployment model.

Point-by-point setup:

  1. Open Files in UGOS Pro.
  2. Create an empty folder for the OpenClaw workspace, such as openclaw-workspace.
  3. Create a separate test folder for OpenClaw file access, such as openclaw-test-data.
  4. Avoid selecting folders that contain private, business-critical, backup, password, financial, or personal archive data.
  5. Open App Center.
  6. Confirm Docker is installed and updated.
  7. Search for OpenClaw under the app list.
  8. Click Install.
  9. Set the Workspace path to the empty OpenClaw working folder.
  10. Set the File access path to the limited folder OpenClaw can manage.
  11. Add additional access paths only if they are required.
  12. Create and record a Gateway token.
  13. Read the installation risk notice.
  14. Tick the confirmation box.
  15. Click Install and allow the deployment to complete.

Linking OpenClaw to an AI Model Provider

OpenClaw needs an AI model before it can act as an assistant. The UGREEN App Center installation can collect model details during setup, but these can also be managed later from the OpenClaw console under Model providers. The information required is usually the same across providers: a base URL or request endpoint, a model name, and an API key.

OpenAI’s current API reference lists https://api.openai.com/v1 as the standard API base, with chat completions available under /chat/completions, while Google documents Gemini’s OpenAI-compatible endpoint as https://generativelanguage.googleapis.com/v1beta/openai/. These details matter because a wrong endpoint, wrong model name, or invalid key will usually result in provider errors inside OpenClaw rather than a NAS-side installation problem.

For a UGREEN NAS setup, most users will start with a remote model provider such as OpenAI, Google Gemini, DeepSeek, MiniMax, Groq, OpenRouter, or another OpenAI-compatible API. iDX models with local AI model support may also allow local model use, but that depends on the local model service exposing a usable API endpoint and key.

A remote model is easier to configure, but it can send task instructions, file context, extracted text, and other prompts outside the NAS. A local model reduces this dependency, but it may require more RAM, more setup, and a compatible local inference service. OpenClaw supports model provider configuration and key rotation through its own provider system, so the NAS app should be treated as the deployment layer rather than the only place where model behaviour can be managed.

Point-by-point setup:

  1. Open the OpenClaw shortcut from the UGREEN NAS desktop.
  2. Sign in using the Gateway token created during installation.
  3. Go to Model providers in the left-side menu.
  4. Click Add provider.
  5. Select the provider you want to use, such as OpenAI, Google Gemini, DeepSeek, MiniMax, or another supported provider.
  6. Enter the provider’s Base URL or full API endpoint.
  7. Enter the required API key from the provider’s developer console.
  8. Enter or select the Model name that matches the provider’s supported model ID.
  9. Save the provider configuration.
  10. Go to the Default model area.
  11. Select the model OpenClaw should use by default.
  12. Click Save to apply the default model.
  13. Open Chat and send a basic test prompt, such as What model are you running on?
  14. If OpenClaw returns a provider error, check the API key, model name, endpoint format, account billing status, and provider rate limits.
  15. If using a local model on an iDX system, use the local service IP address and port as the base URL rather than a public cloud endpoint.

Common examples:

Provider Typical API Base URL
OpenAI https://api.openai.com/v1
OpenAI Chat Completions request path https://api.openai.com/v1/chat/completions
Google Gemini OpenAI-compatible endpoint https://generativelanguage.googleapis.com/v1beta/openai/
DeepSeek https://api.deepseek.com
Groq https://api.groq.com/openai/v1
OpenRouter https://openrouter.ai/api/v1
MiniMax https://api.minimax.chat/v1

Opening the OpenClaw Console and Testing the Assistant

Once installation and model configuration are complete, OpenClaw can be launched from the UGREEN NAS desktop. Clicking the OpenClaw shortcut opens the web console in a browser, where the first prompt will ask for the Gateway token created during installation. After signing in, the Overview page shows whether the gateway is active, along with container runtime details such as uptime, CPU usage, memory usage, gateway port, process information, and overall service status. If the service is running correctly, the status area should show an active or healthy state, and the Open OpenClaw button can be used to launch the native OpenClaw interface in a new browser tab.

The first test should be simple. Open the Chat page, send a basic message, and confirm that the configured model responds. After that, test only against the limited folder path selected during setup. For example, ask it to list files in the permitted test directory, create a new folder inside it, or summarize a non-sensitive test document. This confirms that OpenClaw, the model provider, and the NAS file permissions are all working together. If the model does not respond, check the model provider settings first. If file actions fail, check that the command references the correct mounted path shown in the OpenClaw app configuration rather than a folder name as displayed in the normal UGREEN Files interface.

Point-by-point setup:

  1. Open the OpenClaw shortcut from the UGREEN NAS desktop.
  2. Enter the Gateway token.
  3. Click Sign in or Connect.
  4. Open Overview.
  5. Confirm the service status is active.
  6. Check the runtime snapshot for CPU usage, memory usage, and uptime.
  7. Click Open OpenClaw if you want to use the native OpenClaw interface.
  8. Open Chat from the left-side menu.
  9. Send a basic test message, such as Hello.
  10. Ask which model is active, for example What model are you using?
  11. Test file access only inside the approved test folder.
  12. Use a low-risk command, such as Create a folder called OpenClaw Test in [your mounted test path].
  13. Open Files in UGOS Pro and confirm the folder was created.
  14. If the command fails, check the actual accessible path under Control Panel > About > Apps > OpenClaw.
  15. Review Operation Logs if OpenClaw responds incorrectly, fails to access files, or reports a gateway or provider error.

Choosing Skills and Plug-ins for NAS-Based Use

OpenClaw skills and plug-ins extend what the assistant can do beyond basic chat. In a NAS environment, these additions should be chosen more cautiously than they might be on a laptop or test VM, because a skill may request access to files, shell commands, browser sessions, messaging platforms, or external services. OpenClaw’s public site describes it as an assistant that can act through channels such as WhatsApp, Telegram, and other chat apps, while community skill indexes now list thousands of available skills. That breadth is useful, but it also means the skill ecosystem should not be treated as automatically safe or suitable for storage systems. (openclaw.ai, clawskills.sh)

For a UGREEN NAS, the sensible starting point is to enable only the skills that match a specific NAS task. File management, system monitoring, web browsing, document parsing, OCR, and basic notification workflows are the most relevant categories. Avoid installing skills that request broad shell access, browser credential access, crypto wallet access, password manager access, or unclear third-party scripts unless they have been reviewed carefully. This is not theoretical. Reports in early 2026 documented malicious OpenClaw skills that attempted to steal browser data, SSH credentials, wallet information, and other sensitive data, which is particularly relevant when the assistant is being installed on a machine that stores personal or business files.

Point-by-point setup:

  1. Open the OpenClaw console from the UGREEN NAS desktop.
  2. Sign in with the Gateway token.
  3. Open the native OpenClaw interface using Open OpenClaw, if required.
  4. Go to the Skills, Plug-ins, or Skills Store area.
  5. Search for skills by function rather than installing large bundles.
  6. Start with NAS-relevant categories only.
  7. Check the skill description, source, permissions, and install method.
  8. Avoid any skill that asks you to run unclear terminal commands.
  9. Install 1 skill at a time.
  10. Test it only against the approved OpenClaw test folder.
  11. Check Operation Logs after each test.
  12. Remove any skill that behaves unexpectedly or asks for broader permissions than needed.
  13. Avoid using “always allow” approvals until the workflow has been tested repeatedly.
  14. Keep a note of which skills are installed and what each one can access.
  15. Review installed skills periodically, especially after OpenClaw or UGOS Pro updates.

Recommended NAS-related starting points:

Skill or plug-in type NAS use case Notes
File management Create folders, move files, rename files, list directory contents Use only on approved test paths at first
System monitoring Ask for runtime status, resource usage, uptime, container state Useful for checking OpenClaw and NAS load
Web browsing Fetch public information, check release notes, compare documentation Avoid entering NAS credentials into automated browser sessions
Document parsing Summarize PDFs, text files, logs, notes, or project documents Use non-sensitive documents until behaviour is confirmed
OCR or image analysis Extract text from screenshots, scans, and captured images Useful for receipts, manuals, and screenshots stored on NAS
Notification or messaging Send alerts to chat platforms when a task completes Keep access limited and avoid exposing private file contents
Calendar or reminders Create simple task reminders or schedule follow-up actions Only connect accounts you are comfortable granting access to
GitHub or code repository tools Track updates, commits, issues, or project notes Relevant for developer or homelab use, less important for general storage
Shell or terminal tools Advanced maintenance and automation High risk; avoid unless you know exactly what commands may be run
Database query tools Query structured local datasets or app databases Use read-only credentials where possible

Connecting OpenClaw to WhatsApp, Discord, and Telegram

OpenClaw can be used through external messaging platforms so that commands can be sent to the NAS assistant without opening the UGREEN web interface each time. The supported channel list includes WhatsApp, Telegram, Discord, Slack, Google Chat, Signal, Microsoft Teams, Matrix, Feishu, LINE, Mattermost, Nextcloud Talk, and others, but WhatsApp, Telegram, and Discord are likely to be the most relevant for home and small-office users. OpenClaw’s own channel notes state that multiple channels can run at the same time, but they also warn that inbound messages should be treated as untrusted input and that DM pairing or allowlists are used for access control. (github.com, docs.openclaw.ai)

For NAS use, Telegram is usually the simplest starting point because it relies on a bot token from BotFather. WhatsApp normally uses QR pairing and stores more session state on disk, which means it may need more care during backups, container resets, or reinstallation. Discord is more useful when OpenClaw needs to operate inside a server, channel, or team context, but it should be restricted to private channels and trusted roles rather than broad server-wide access. The UGREEN console provides a channel management area where plugins can be enabled, configured, and monitored, but more advanced channel setup may still require working inside the OpenClaw interface or Docker container depending on the platform and plugin. (docs.openclaw.ai, openclaw-openclaw.mintlify.app)

Point-by-point setup:

  1. Open the OpenClaw console from the UGREEN NAS desktop.
  2. Sign in using the Gateway token.
  3. Go to Channels.
  4. Select the channel you want to enable, such as Telegram, WhatsApp, or Discord.
  5. Click Enable for the required channel plugin.
  6. Wait until the plugin status changes to Ready.
  7. Click Add channel.
  8. Enter the required account, bot, or pairing details.
  9. Configure DM access rules, pairing mode, or allowlist behaviour where available.
  10. Bind the channel to the correct OpenClaw agent or default assistant.
  11. Send a low-risk test message from the external app.
  12. Confirm that OpenClaw replies through the same channel.
  13. Test with a harmless NAS action inside the approved test directory only.
  14. Check Operation Logs if messages are received but not answered.
  15. Disable the channel if unexpected users, groups, or servers can trigger the assistant.

Telegram setup:

  1. Open Telegram.
  2. Search for @BotFather.
  3. Create a new bot using /newbot.
  4. Copy the bot token provided by BotFather.
  5. Return to OpenClaw > Channels.
  6. Enable the Telegram plugin.
  7. Add a Telegram channel.
  8. Paste the bot token.
  9. Configure whether the bot can respond in DMs, groups, or both.
  10. Send a test message to the bot.

WhatsApp setup:

  1. Open OpenClaw > Channels.
  2. Enable the WhatsApp plugin.
  3. Add a WhatsApp channel.
  4. Enter the phone number or pairing account details requested by the setup window.
  5. Generate the QR pairing code.
  6. Open WhatsApp on your phone.
  7. Go to linked devices.
  8. Scan the QR code.
  9. Wait for the WhatsApp channel status to become active.
  10. Send a test message to confirm OpenClaw responds.

Discord setup:

  1. Create or use a Discord server where you control permissions.
  2. Create a dedicated private channel for OpenClaw commands.
  3. Create a Discord bot in the Discord Developer Portal.
  4. Copy the bot token.
  5. Return to OpenClaw > Channels.
  6. Enable the Discord plugin.
  7. Add a Discord channel.
  8. Paste the bot token.
  9. Restrict the bot to trusted channels and roles.
  10. Send a test command in the private OpenClaw channel.

UGREEN x OpenClaw: Useful, but Only with Controlled Access

OpenClaw on UGREEN NAS is a notable step towards making AI-assisted NAS management more accessible, mainly because the App Center version removes much of the older manual deployment work. Instead of installing Ubuntu in a VM, configuring Node.js, running installation scripts, and manually binding the gateway, supported UGREEN NASync users can now install OpenClaw through UGOS Pro and complete the main path, token, and model setup through a guided interface. That makes the initial process easier, but it does not make OpenClaw a basic consumer NAS feature. It is still an automation agent with access to files, tools, model providers, messaging channels, and potentially system commands.

The value depends on how tightly it is configured. Used against a limited folder, with a known model provider, a small number of trusted skills, and private messaging channels, OpenClaw can help with file organisation, document handling, system checks, reminders, and assistant-style NAS interaction. Given broad storage access, untested skills, exposed web access, or remote AI services without understanding the data flow, it becomes a much higher-risk deployment. For most users, the best approach is to begin with a test directory, avoid sensitive data, keep backups current, and expand access only after confirming exactly how OpenClaw behaves in day-to-day use.

Want to Support the work me and Eddie do at NASCompares? If you found this article helpful and are going to buy a UGREEN NAS from the brand’s official site or from Amazon, use the links below. Using these links will result in a small commission coming to us (which costs you nothing extra) and it allows us to keep doing what we do! Thank you for keeping the internet a fair and sustainable place!

Buy the UGREEN NAS from your local Amazon Store Buy the UGREEN NAS solutions Directly from UGREEN.COM

 

 

📧 SUBSCRIBE TO OUR NEWSLETTER 🔔
[contact-form-7]
🔒 Join Inner Circle


Get an alert every time something gets added to this specific article!


Want to follow specific category? 📧 Subscribe

This description contains links to Amazon. These links will take you to some of the products mentioned in today's content. As an Amazon Associate, I earn from qualifying purchases. Visit the NASCompares Deal Finder to find the best place to buy this device in your region, based on Service, Support and Reputation - Just Search for your NAS Drive in the Box Below

Need Advice on Data Storage from an Expert?

Finally, for free advice about your setup, just leave a message in the comments below here at NASCompares.com and we will get back to you. Need Help? Where possible (and where appropriate) please provide as much information about your requirements, as then I can arrange the best answer and solution to your needs. Do not worry about your e-mail address being required, it will NOT be used in a mailing list and will NOT be used in any way other than to respond to your enquiry. [contact-form-7] TRY CHAT Terms and Conditions
If you like this service, please consider supporting us. We use affiliate links on the blog allowing NAScompares information and advice service to be free of charge to you.Anything you purchase on the day you click on our links will generate a small commission which isused to run the website. Here is a link for Amazon and B&H.You can also get me a ☕ Ko-fi or old school Paypal. Thanks!To find out more about how to support this advice service check HEREIf you need to fix or configure a NAS, check Fiver Have you thought about helping others with your knowledge? Find Instructions Here  
 
Or support us by using our affiliate links on Amazon UK and Amazon US
    
 
Alternatively, why not ask me on the ASK NASCompares forum, by clicking the button below. This is a community hub that serves as a place that I can answer your question, chew the fat, share new release information and even get corrections posted. I will always get around to answering ALL queries, but as a one-man operation, I cannot promise speed! So by sharing your query in the ASK NASCompares section below, you can get a better range of solutions and suggestions, alongside my own.

☕ WE LOVE COFFEE ☕
 

Zuckerberg promet une IA parfaitement privée avec des messages qui s’effacent instantanément

✇Numerama
Par : Julien Lausson
16 mai 2026 à 15:19

Aucun historique de conversation stocké sur des serveurs : Mark Zuckerberg annonce un mode 100 % privé pour Meta AI sur WhatsApp. Une opération séduction pour rassurer des internautes légitimement méfiants à l'égard de l'IA et des chatbots, mais aussi envers le passif de l'entreprise américaine.

À partir d’avant-hierFlux principal

Microsoft 365 Copilot: new entry points, smart suggestions, and keyboard shortcuts

✇4sysops
Par : IT Experts
14 mai 2026 à 22:37
Docking Copilot button across Word, Excel, PowerPoint (image Microsoft)
Microsoft is simplifying how you access Copilot in Word, Excel, and PowerPoint by reducing the number of entry points to just two. A new floating icon sits in the bottom-right corner of the document canvas, and a contextual entry point appears when you interact with content. Proactive suggestions are now surfaced directly from the Copilot button, and keyboard shortcuts have been unified across apps and platforms. These changes also improve access for users who rely on keyboards or screen readers.

Source

Unitree lance son robot mecha à 500 000 dollars

✇Korben
Par : Vincent Lautier
13 mai 2026 à 16:40

500 000 dollars. C'est le prix d'entrée annoncé pour le GD01 d'Unitree, un robot mecha de 2,7 mètres de haut que vous pouvez littéralement piloter depuis son torse, façon Pacific Rim version chinoise. Unitree, le fabricant chinois déjà connu pour ses chiens-robots quadrupèdes, passe au stade de la production en série pour son engin transformable.

Le robot pèse 500 kilos avec son pilote à bord, soit clairement plus qu'un quad de loisir. Sa particularité, et c'est là qu'on bascule dans le délire science-fiction, c'est qu'il peut passer de la marche bipède à un mode quadrupède pour les terrains plus accidentés.

La vidéo de démonstration montre le patron Wang Xingxing en train de piloter l'engin, qui défonce un mur de briques d'un coup de poing métallique. Voilà voilà.

Côté chinois, ce n'est pas vraiment une surprise. Les fabricants locaux pèsent déjà environ 90% des ventes mondiales de robots humanoïdes en 2025, et Unitree fait partie des leaders du secteur. La boîte a même déposé son dossier d'introduction en bourse à Shanghai en mars dernier, avec 4,2 milliards de yuans à lever (environ 530 millions d'euros), dont 85% fléchés vers la recherche et développement. Le business des robots commence à devenir sérieux.

Au passage, ça marque une vraie différence d'approche avec les humanoïdes plus classiques, type Optimus chez Tesla ou Atlas chez Boston Dynamics (le fabricant américain de robots quadrupèdes et humanoïdes).

Eux visent un robot de taille humaine, autonome, destiné à assister ou remplacer des tâches du quotidien. Unitree, à l'inverse, propose un engin que vous habitez de l'intérieur, plus proche d'un exosquelette géant que d'un assistant compagnon. Pas le même produit, pas le même marché.

Unitree positionne le GD01 sur des usages assez spécifiques : parcs d'attractions, tournages de films, opérations de sauvetage en milieu hostile, expériences immersives. Pas franchement le genre de robot que vous garez dans le garage en rentrant du boulot. Le constructeur prévient d'ailleurs que le prix est "préliminaire" et qu'il bougera selon les optimisations à venir.

Bon, avant de rêver à votre propre mecha, quelques bémols quand même. Les experts pointent des soucis assez basiques : c'est galère d'entrer et de sortir du cockpit, l'autonomie batterie est limitée, le confort est minimal, et personne ne sait encore comment encadrer ce genre d'engin côté réglementation. Sans parler de la maintenance d'une bête mécanique de 500 kilos. Alors, vous sortez la carte bleue ?

Source : Gagadget

Quels téléphones Android sont compatibles avec Gemini Intelligence ?

✇Numerama
Par : Julien Lausson
12 mai 2026 à 19:20

Gemini Intelligence, l'IA « proactive » de Google, arrive cet été sur Android. Cette mise à jour logicielle et matérielle ne sera pas disponible pour tout le monde dès le départ. Côté smartphones, voici les premiers modèles annoncés.

Robots chiens Unitree - La backdoor que personne ne corrige

✇Korben
Par : Korben ✨
11 mai 2026 à 15:40

Si vous croisez un robot-chien Unitree dans un hall d'HLM, sur un parking, un chantier, ou en train de patrouiller dans votre ville, faut que vous sachiez 2 trucs quand même :

Un, n'importe qui peut le rooter en moins d'une minute avec son téléphone. Et de deux, le robot lui-même envoie en continu un flux chiffré vers un tunnel cloud opéré depuis la Chine. C'est en tout cas ce que Benn Jordan, musicien indépendant et chercheur amateur, vient de démontrer hier dans une enquête de 24 minutes qui fait, comme il le dit lui-même, un meilleur boulot que toute l'infrastructure cybersécurité du gouvernement américain.

Pour le hacker, suffit donc de se connecter au robot en Bluetooth, puis d'injecter une commande curl à la fin du mot de passe Wi-Fi, on éteint le toutou, on le rallume, et au reboot le robot exécute votre commande quand il active le Wi-Fi. C'est tout et c'est vraiment magique !! Pas besoin d'accès root physique donc mais juste un bon vieux téléphone et un Bluetooth pourri !

Le boss !

Alors vous pensez peut-être que ce n'est pas très grave parce que ces robots sont des gadgets mais c'est faux puisque les robots-chiens Unitree sont actuellement utilisés par les services de police de Pullman (Washington), Port St. Lucie (Floride) et Topeka (Kansas) et un peu partout ailleurs dans le monde.

Les Marines américains les déploient en test, certains armés de lance-roquettes, les forces chinoises leur sanglent diverses armes sur le dos depuis un moment et l'Ukraine s'en sert pour repérer des munitions non-explosées. Et dans le civil, ces robots circulent même dans des HLM d'Atlanta pour le compte de sociétés de surveillance privée...

En France, le tableau est un peu différent. Pas de déploiement confirmé par les forces de l'ordre ou l'armée pour l'instant. Chez nous, c'est Boston Dynamics Spot et l' E-Doggy d'Evotech (robot 100% français, utilisé au déminage pendant les JO 2024) qui tiennent ces marchés-là. Les Unitree restent encore dans les labos tels que l' INRIA Paris et le labo HUCEBOT de Nancy qui utilisent le Go2 pour leurs recherches en locomotion robotique.

En dehors de la recherche, le cas le plus avancé est celui d'Orano, qui a testé fin 2025 le G1 humanoïde d'Unitree sur son site nucléaire de Marcoule en partenariat avec Capgemini (c'est un humanoïde, pas un quadrupède, mais même fabricant, même firmware, mêmes questions). Côté distribution, INNOV8 Power est également partenaire officiel Unitree depuis VivaTech 2025 et INGEN Geosciences distribue la marque depuis 2020. Le réseau pour vendre ces robots à des boîtes de sécurité privées françaises est donc déjà bien en place.

Du coup quand un mec démontre qu'on peut en prendre le contrôle complet rapidement, ça mérite qu'on regarde ça d'un peu plus près...

Et quand je dis contrôle complet, c'est pas un excès de langage. Avec cet accès root, Benn Jordan a réussi à enregistrer, télécharger et live streamer l'audio et la vidéo captés par le robot. Sans authentification donc ni même sans passer par l'app officielle. C'est assez dingue... On peut même contrôler les mouvements du robot. Une belle merde donc !

Cette faille n'est d'ailleurs pas une nouveauté absolue puisque j'avais déjà couvert le hack BLE des humanoïdes Unitree en décembre dernier. Et ensuite rebelote en mars dernier avec deux nouvelles CVE sur le Go2, partiellement patchées. La répétition des conneries devient un peu lourdingue chez Unitree...

La deuxième partie de l'enquête, elle, atteint un autre niveau puisque Benn Jordan a entendu parler de rapports affirmant que d'autres robots Unitree contenaient une backdoor envoyant des données à des serveurs étrangers. Il a donc voulu vérifier ça lui-même.

Il a donc transformé un Raspberry Pi sous Linux en routeur avec le mode moniteur activé, et lancé BetterCap pour analyser chaque paquet sortant.

Et là, surprise, le robot refuse purement et simplement de s'authentifier. Le hic, c'est que quelque chose côté serveur cloud détecte que le routeur est anormal et bloque la connexion. En analysant un peu plus finement la connexion, il a remarqué que la première IP chopée au sniff pointait vers Odessa, en Ukraine... Vu qu'aucune doc fabricant ne mentionne ce point d'accès, le truc devient alors officiellement louche... Le robot semble savoir quand il est "analysé" et cette détection d'environnement anormal est précisément le truc qui transforme une affaire de faille classique en problème de sécurité nationale.

Benn Jordan a donc ensuite contourné ça avec un routeur de voyage standard avant de sniffer derrière les paquets, et il a fini par confirmer ce qu'on appelle officiellement la CVE-2025-2894 . Il s'agit d'un tunnel P2P préinstallé sur le Go1 qui se connecte automatiquement au démarrage à une plateforme appelée CloudSail, opérée par une boîte chinoise nommée Zhexi Technology.

Le truc est référencé dans MITRE depuis le printemps 2025, soit environ un an. En 2025, les chercheurs Andreas Makris et Kevin Finisterre ont même chopé la clé API de CloudSail et identifié près de 2000 robots vulnérables sur ce réseau, dont des unités installées au MIT, à Princeton, à Carnegie Mellon et à l'université de Waterloo.

Côté américain, la seule action gouvernementale connue suite à ça, a été une mise en garde des Marines US concernant l'usage de produits Unitree en opérations militaires. Rien d'autre.

Et là on arrive à un point de blocage assez brutal. Les failles démontrées par Benn (le hack Bluetooth, la prise de contrôle complète) et la backdoor CloudSail ne peuvent pas être corrigées en même temps, parce que les solutions se neutralisent mutuellement.

Pour boucher les failles de Benn, il faut passer par une mise à jour firmware officielle d'Unitree. Mais cette mise à jour ferme aussi l'accès root au système. Sans accès root, impossible de détecter ou bloquer le tunnel CloudSail de l'intérieur. Du coup, on a un robot sécurisé contre les hackers, mais des données qui filent quand même vers la Chine.

À l'inverse, si vous gardez le firmware actuel pour maintenir l'accès root (et donc la capacité de surveiller et bloquer CloudSail), les failles restent béantes. N'importe quel inconnu avec un téléphone peut alors prendre le contrôle complet de votre flotte de robots clébards. Bien sûr, couper Internet sur le robot évite les deux problèmes à la fois, mais le rend inutilisable dans la plupart des déploiements opérationnels.

Si vous avez un Unitree à la maison ou en entreprise, voilà la recommandation perso de Benn Jordan. Selon lui, plutôt que d'installer la dernière mise à jour, mieux vaut ne plus jamais mettre à jour le firmware (gardez en tête que c'est son avis radical, pas une bonne pratique standard). Parce qu'à la prochaine mise à jour, vous risquez de perdre la capacité de rooter votre propre robot, et avec elle la capacité de détecter, bloquer ou rediriger la backdoor.

Vous perdrez aussi la possibilité d'écrire manuellement des services qui empêchent les hackers d'exploiter les autres failles. En clair, sa meilleure défense contre Unitree, c'est de figer le firmware actuel.

Un Flipper Zero suffisait déjà à neutraliser un robot-chien de la concurrence, mais ici "couper" le robot de son fabricant pour s'en protéger, c'est un autre délire...

Source

Documents OVNI déclassifiés - 161 fichiers et zéro preuve

✇Korben
Par : Korben ✨
10 mai 2026 à 20:45

J'sais pas si vous avez vu mais le Pentagone vient de balancer 161 documents OVNI déclassifiés sur ordre de ce bon vieux Trump ! Pete Hegseth, le secrétaire à la Défense (ou à la Guerre, j'sais plus comment on dit) a donc mis en ligne 119 PDFs, 28 vidéos et 14 images couvrant les années de 1948 à 2026.

Et vous allez voir, c'est la déception scientifique du siècle !

J'ai été voir un peu de quoi il en retournait et c'est majoritairement flou et nul à chier. Les vidéos infrarouges montrent des points lumineux qui font des virages à 90 degrés au-dessus de la Grèce, sans qu'on sache quel appareil filme ni quand précisément et les images sont caviardées "pour protéger l'identité des témoins, l'emplacement des installations et des informations militaires sensibles".

Du coup, y'a des trucs intrigants qui font bosser les complotistes et autres Lone Gunmen en culottes courtes mais très peu de métadonnées techniques exploitables. Parce que en pratique, sans contexte radar, sans signature thermique, et sans plateforme de captation identifiée, c'est IMPOSSIBLE de trancher entre OVNI, drone furtif chinois, reflet dans les nuages ou simple missile expérimental. Alors à choisir entre une vidéo IR de neuf secondes dégueulasse et une vraie étude radar avec données brutes, perso j'aurais vraiment préféré la seconde.

Mais bon, c'est l'Amérique et on sait qu'ils adorent le folklore Roswell, donc ça alimente la machine à connerie mais absolument pas tout ce qui est recherche scientifique et je trouve ça dommage...

Le programme s'appelle PURSUE (Presidential Unsealing and Reporting System for UAP Encounters), parce qu'il fallait bien un acronyme trop super cool pour habiller la chose et la promesse de Hegseth est la suivante : "Ces documents, cachés derrière le secret-défense, ont longtemps alimenté des spéculations justifiées et il est temps que les Américains les voient de leurs propres yeux."

On se croirait dans une intro de X-Files. Bah voilà, là on a vu et c'est naze. En pratique, c'est comme si la NASA publiait des photos de Mars filmées avec une caméra Game Boy...

Et je vous ai pas encore tout dit car certains rapports frisent le grand n'importe quoi. Le plus beau c'est cet orbe décrit par des forces de l'ordre fédérales américaines comme "similaire à l'œil de Sauron du Seigneur des Anneaux, sans la pupille". Je vous jure, c'est la description officielle. Le vrai mystère de PURSUE je crois, c'est plutôt de savoir si ces rapports ont été écrits par des fédéraux US, ou des mecs bourrés en convention de Comic-Con.

Sauf que ça n'est pas le pire... Dans un rapport de 1966, on trouve un objet décrit comme un "rayon laser, ou rayon cobalt", "auto-enveloppant", "similaire à un cocon autour d'un ver à soie", capable d'enfermer le système nerveux entier d'une personne. Okéééé, vous pouvez développer ? Elle pousse où votre ganja les gars ? Et une fois encore, i want to believe hein, mais va falloir nous fournir autre chose que des rapports de militaires alcoolisés...

Les astronautes d'Apollo 11 auraient même observé un "objet de taille importante" près de la Lune avec une "source lumineuse assez brillante", décrite comme un "possible laser", Apollo 12 et 17 ont aussi vu des trucs et je ne vous parle pas des humanoïdes de quatre pieds (1m20, oh les tchô loulous) qui auraient été aperçus près d'engins non identifiés.

Sauf que RIEN n'est corroboré par des preuves matérielles.

Et là où ça devient carrément ouf, c'est que depuis 2 jours, y'a même un faux rapport qui circule sur les réseaux sociaux, comme s'il sortait de ces fichiers PURSUE officiels où il est question d'une femme-chat avec des oreilles pointues et une queue aperçue en 1994. Je vous rassure, ce rapport n'est PAS dans les docs officiels du Pentagone, mais je voulais aussi vous en parler parce qu'il y en a qui partagent ça en mode "voilà la preuve". Faut dire que le Pentagone a publié 161 docs si flous que même les pires hoax semblent plus sérieux au milieu de toutes ces conneries. C'est merveilleux !

Bref, ces "révélations" sont loin d'en être...

Dire que le cas que le Pentagone classe parmi "les plus convaincants" ce sont des "orbes qui lancent d'autres orbes". Ils ont été aperçus en 2023, dans l'ouest des États-Unis et c'est ça le TOP du TOP de ces preuves... donc imaginez le reste ! D'ailleurs, l'AARO (Anomaly Resolution Office) a déjà publié ses conclusions sur tout ce bordel : Aucun de ces phénomènes n'a d'origine extraterrestre confirmée.

Voilà, voilà... On verra ce qu'ils nous sortiront par la suite, mais ça risque d'être drôle. Rendez nous Jacques Pradel !!

Et dire qu'il y a 32 ans, deux ados qui cherchaient des fichiers OVNI dans les serveurs du Pentagone ont fait paniquer Washington au point de déclencher une alerte de sécurité nationale historique et aujourd'hui, le même type de fichiers sort officiellement et c'est de la bouillie pour les cerveaux crédules...

Bref, tout ça pour ça... J'suis déçu un peu quand même... Moi j'attendais une vraie photo ou vidéo nette, une vraie étude scientifique, un vrai document sérieux.

Mais à la place, on a des fédéraux qui décrivent des bidules en forme de boules de bowling sans rien de plus que leur parole... Breeef, passez votre chemin les amis !

Source

Il ne vous reste que quelques jours pour acheter à vie le FSD de Tesla

✇Numerama
Par : Raphaëlle Baut
7 mai 2026 à 18:07

Tesla commence à fermer la porte à l’achat définitif de ses options de conduite automatisée pour passer sur une formule par abonnement. On a désormais la date de la bascule.

Le créateur du Roomba revient avec un robot-peluche qui veut remplacer votre chat

✇Numerama
Par : Julien Cadot
6 mai 2026 à 14:45

Colin Angle, l'homme qui a mis le Roomba dans des millions de foyers, dévoile un robot quadrupède à fourrure synthétique pensé pour... tenir compagnie. Alors que iRobot, son ancienne maison, finit ses jours sous pavillon chinois, la nouvelle créature de l'entrepreneur cible ceux qui ont été les plus grands admirateurs des robots aspirateurs : les chats (ok, les chiens aussi) (et les bébés).

VS Code signe vos commits avec Copilot, même sans Copilot

✇Korben
Par : Korben ✨
6 mai 2026 à 12:16

Si vous avez committé du code depuis VS Code depuis mi-avril, allez tout de suite vérifier vos messages de commit car vous avez peut-être un nouveau co-auteur que vous n'avez jamais embauché.

En effet, Microsoft a discrètement basculé le réglage par défaut de l'éditeur pour ajouter Co-authored-by: Copilot <[email protected]> à des commits que VS Code considérait à tort comme contenant des contributions IA, même quand vous n'avez pas utilisé Copilot, et même quand vous avez explicitement désactivé toutes les fonctions IA.

Quelle lose, hein ? La Product Manager Courtney Webster a poussé cette fameuse pull request #310226 des enfers le 15 avril dernier sans aucune description, et le dev dmitrivMS l'a mergée tranquillou le lendemain.

Et le résultat de tout ce bordel, vous pouvez le lire dans la PR #310226 qui a explosé sur GitHub : 372 pouces baissés contre 2 levés, 30 réactions "confused", et des dizaines de commentaires furieux.

L' issue de suivi #314311 , ouverte ensuite par dmitrivMS pour faire son point public, a elle aussi reçu un torrent de réactions virulentes. Tu m'étonnes, ils font vraiment n'importe quoi...

Maintenant si vous êtes dans ce cas, vous pouvez neutraliser ça immédiatement, ajoutez dans votre settings.json :

"git.addAICoAuthor": "off"

C'est le seul réglage qui marche vraiment, parce que dans la version buguée même chat.disableAIFeatures à true n'arrêtait pas le soucis. Et pour votre historique déjà bien pollué, un git rebase -i ou un git filter-branch permettra de virer les contributeurs parasites dans vos derniers commits. Mais après bonne chance si vos commits sont déjà sur des PR mergées chez d'autres. Là c'est mort...

Ce que les devs reprochent à Microsoft, c'est pas vraiment d'avoir créé l'option (elle existait depuis VS Code 1.110 en opt-in tranquille). Non, le vrai problème c'est surtout ce qu'il y a derrière cette vilaine Pull Request... 2 fichiers touchés, le change de "default", absolument AUCUNE description, une seule review d'approbation toute nulle, et hop, c'est mergé OKLM.

Pour un changement qui touche les messages de commit de plusieurs millions de devs, ça sent quand même la décision unilatérale prise à l'arrache entre 2 portes...

Et puis surtout il y a le bug #313064 qui a fait basculer l'histoire de la simple polémique à la grosse colère communautaire.

En effet, la nouvelle valeur par défaut "all" attribuait à Copilot des complétions qui ne venaient PAS de Copilot. Un dev explique par exemple avoir tapé son code à la main, vérifié son message de commit, supprimé toute suggestion Copilot, écrit le sien à la main... et a finalement retrouvé quand même Co-authored-by: Copilot dans le git log final.

Et comme le mode "je ne veux pas d'IA" n'était pas plus respecté, l'IA s'auto-créditait quand même sur tout et n'importe quoi.

Côté communauté, le ton est monté très vite. Sur le fil GitHub, y'en a un qui écrit que, je cite, "C'est pas une régression, c'est de la fraude. On ne peut pas s'attribuer un travail qu'on n'a pas fait." et un autre dev parle de "vandalisme" pur.

Windows Central a même sorti un titre choc : "This could cost people their jobs", parce que dans les boites en fintech ou sur du code soumis à audit, faire passer du code humain pour de l'IA-assisté peut coller un fail d'audit et faire péter des contrats. Ah bah ouais, j'avoue que je n'y avais pas pensé...

Heureusement, Microsoft a fini par bouger puisque dans VS Code 1.118, le default est finalement repassé de "all" à "chatAndAgent", déjà moins agressif. Et dans la PR #313931 , dmitrivMS a remis le default à "off" pour la version 1.119, dont le déploiement public commence justement aujourd'hui.

Bien sûr, la Product Manager a fait son mea culpa public, en reconnaissant, je cite que "la manière dont c'était implémenté et déployé n'a pas atteint le niveau de correction attendu", ce qui, dans la langue corporate, veut dire "on est des branleurs, déso, bisous".

Maintenant ce qui revient souvent dans les commentaires, c'est que Claude Code et Codex CLI font la même chose par défaut quand ils committent, sauf que la différence, c'est que ces agents committent quand C'EST EUX qui ont écrit le code, donc le co-author est tout à fait légitime.

VS Code, lui, modifiait des commits écrits à la main par des humains donc c'est pas du tout le même problème. Et pour le coup, sur Codex CLI la mention reste aussi désactivable via une option alors que chez Claude Code même si c'est pareil, l'opt-out n'est pas toujours très respecté d'après les retours que j'ai pu lire.

En tout cas, ce loupé arrive dans un climat déjà tendu puisque Microsoft pousse Copilot dans Windows, dans Notepad, dans Office, et même jusque dans l'écosystème Apple via une extension Xcode , dans tous les coins, et beaucoup de devs commencent à voir chaque nouveauté MS à travers ce prisme. La théorie du "ils gonflent les KPI Copilot pour les boards et les analystes" de plus en plus crédible et comme personne n'aime se sentir transformé en stat marketing, tout le monde commence à se barrer des outils et services Microsoft.

Maintenant, si vous voulez vraiment vous protéger des prochains coups foireux de M$, je vous propose d'abord de basculer sur VSCodium ou Zed , deux éditeurs sans télémétrie ni AI imposée. Et ensuite, déménager vos repos chez Codeberg ou Forgejo en suivant la procédure de migration que je vous donne dans cet article Patreon, comme ça même si Microsoft fait n'importe quoi côté éditeur, votre code n'est plus chez eux côté forge.

À voir maintenant si Microsoft tient ses promesses sur le consentement explicite avant toute mention d'agent IA, ou si on rejouera ce film encore et encore tous les 6 mois sur une autre fonctionnalité.

Microsoft Copilot Cowork: New AI features for Microsoft 365

✇4sysops
Par : IT Experts
5 mai 2026 à 21:01
Cowork dashboard with task management interface (image Microsoft)
Microsoft 365 Copilot Cowork moves beyond chat-based AI responses by acting as an autonomous agent—an AI that can perform multi-step tasks on your behalf across Outlook, Teams, Word, Excel, and other Microsoft 365 services. Cowork is built on top of Work IQ, Microsoft's intelligence layer that reads your emails, meetings, files, and organizational data to provide context for actions. As of May 2026, Cowork is available through the Frontier preview program and has expanded to include mobile support, custom skills, plugins, and integration with Agent 365. Access requires a Microsoft 365 Copilot license and enrollment in the Frontier early-access program.

Source

On a essayé le Tesla FSD pendant 106 km à Amsterdam : notre avis sur la conduite automatique supervisée en Europe

✇Numerama
Par : Nicolas Lellouche
3 mai 2026 à 14:02

La technologie FSD (Full Self Driving) de Tesla est autorisée aux Pays-Bas depuis le 10 avril 2026 : une première en Europe. L'expérience est-elle aussi futuriste qu'aux États-Unis ? Pour le savoir, Numerama a pris le volant d'un Model Y équipé de la « conduite entièrement automatique supervisée » à Amsterdam.

La revanche de la Comtesse

✇Numerama
Par : Julien Cadot
2 mai 2026 à 16:30

Nouvelle frontière pour l'IA générative ? Les contrepèteries, fondées sur des inversions de syllabes et souvent déchiffrées de manière phonétique, échappent à l'intelligence des modèles les plus puissants. C'est le sujet de la newsletter ToujoursPlus du jeudi 30 avril 2026 : inscrivez-vous gratuitement pour avoir les suivants !

Renault devance très largement ses concurrents sur la voiture électrique en avril

✇Numerama
Par : Raphaëlle Baut
2 mai 2026 à 10:23

Les immatriculations du mois d’avril 2026 affichent de bons résultats pour la voiture électrique. C’est surtout un nouveau mois de succès pour les ventes des modèles Renault, et ce bien avant l’effet Twingo.

Japan Airlines teste des robots humanoïdes pour charger les bagages

✇Korben
Par : Vincent Lautier
1 mai 2026 à 13:33

Japan Airlines va confier la manutention des bagages à des robots humanoïdes sur les pistes de l'aéroport Haneda. Le test démarre en mai 2026, dure deux ans, et implique pour commencer deux machines posées au milieu des bagagistes humains.

L'opération est pilotée par JAL Ground Service avec GMO AI & Robotics. Les robots viennent de Chine : un Unitree G1 d'environ 1m30 et un Walker E d'UBTECH.

Le programme est découpé en plusieurs étapes (cartographie du site, simulations en environnement reconstitué, puis tarmac réel), avec à terme l'idée de leur faire transporter les containers de fret, manipuler les leviers de verrouillage et même nettoyer les cabines une fois les avions vides. L'autonomie annoncée est de 2 à 3 heures, avant qu'il ne faille recharger la machine.

Sauf que la première démo publique a calmé tout le monde. Le G1 a tapoté un colis sur le tapis roulant et fait coucou à un humain, mais personne ne l'a vu soulever quoi que ce soit.

La presse anglo-saxonne a gentiment moqué la chose : démarche hésitante, gestes cosmétiques, et surtout aucune preuve de capacité à porter une valise standard.

Le Japon n'a pas le choix. Population vieillissante, faible immigration, et tourisme record qui sature les infrastructures : les aéroports japonais galèrent à recruter des bagagistes, et la situation ne va pas s'arranger dans les prochaines années.

Du coup, plutôt que d'investir dans des bras articulés industriels qui demandent de repenser tout le poste de travail, JAL parie sur des humanoïdes capables de s'intégrer dans un poste conçu pour des humains. 

En pratique, on est encore loin du compte. Une valise standard pèse entre 20 et 30 kg. Un humanoïde d'environ 35 kg sur deux jambes qui tient à peine debout, ce n'est pas vraiment l'outil idéal pour balancer du Samsonite à la chaîne pendant huit heures. JAL le sait.

D'où les deux ans de test prévus avant tout déploiement réel, et l'envie d'observer ce qui marche, ce qui casse, et ce qui finira aux oubliettes. Les deux fournisseurs choisis ne sont d'ailleurs pas des inconnus : Unitree et UBTECH se positionnent comme les gros chinois de l'humanoïde, face à un Tesla Optimus encore largement scénarisé.

Vous l'avez compris  on est plus dans la com' que sur de l'efficacité pure. Faire coucou à un bagage, ça ne le met toujours pas en soute.

Source : ARS Technica

« D’où viennent les gobelins ? » : OpenAI explique l’obsession de ChatGPT pour les créatures fantastiques

✇Numerama
Par : Amine Baba Aissa
30 avril 2026 à 10:01

Depuis plusieurs jours, les théories se multiplient autour de l’étrange obsession de certains modèles d’OpenAI pour les gobelins, gremlins et autres créatures fantastiques. L’entreprise vient de publier une explication détaillée, et elle apporte un éclairage sur les limites de l’entraînement par renforcement.

❌
❌