Si l'on part du monde des cryptomonnaies, qu'est-ce qui fait d'Hermes Agent le principal concurrent d'OpenClaw ?

Le 25 février 2026, Nous Research a publié Hermes Agent v0.1.0. À peine 42 jours plus tard, le 8 avril, le projet en était déjà à la version v0.8.0, avec 8 versions majeures et des centaines de pull requests fusionnées, grâce à la participation de 242 contributeurs. Au cours de la même période, OpenClaw, le projet d'agent d'IA open source le plus populaire sur GitHub, a récolté 346 000 étoiles, mais a également accumulé 138 failles de sécurité en 63 jours.

Deux courbes de croissance progressaient simultanément, mais ce qui augmentait était complètement différent.

Il n'a fallu que 33 jours à OpenClaw pour passer de son lancement officiel le 29 janvier à dépasser React en tant que projet logiciel ayant recueilli le plus grand nombre d'étoiles de l'histoire de GitHub, le 3 mars. Selon les statistiques d'OpenClaw, au plus fort de son succès, le site a reçu 34 168 étoiles en seulement 48 heures, soit une moyenne de 710 étoiles par heure. À titre de référence, il a fallu environ trois ans à Kubernetes pour atteindre les 100 000 étoiles.

Toutefois, selon le blog de Blink Security, au cours de cette même période, les chercheurs en sécurité ont publié des CVE à un rythme moyen de 2,2 par jour. Au total, 138 vulnérabilités ont été révélées en 63 jours, dont 7 critiques (CVSS supérieur à 9,0) et 49 à haut niveau de gravité, représentant 41 % du total.

La plus grave était la faille CVE-2026-25253, une vulnérabilité permettant l'exécution de code à distance sans interaction de l'utilisateur (zero-click), avec un score CVSS de 8,8. Il suffit à un pirate d'amener un utilisateur à consulter une page Web malveillante pour voler des jetons d'authentification via la passerelle WebSocket, ce qui lui permet de prendre le contrôle total de l'Agent de l'utilisateur. D'après les données d'analyse de Shodan, plus de 42 000 instances d'OpenClaw étaient exposées sur l'Internet public en février, dont 63 % sans authentification de passerelle activée.

Le 14 février, Peter Steinberger, fondateur d'OpenClaw, a annoncé qu'il rejoignait OpenAI, et le projet a été transféré à une fondation open source. Par la suite, la fréquence des divulgations relatives à la sécurité s'est encore accélérée.

C'est dans ce contexte qu'Hermes Agent a vu le jour. Ce n'est pas une voie tranquille, mais un marché où la confiance s'effrite. Cependant, considérer Hermes uniquement comme une « alternative à OpenClaw » revient à passer à côté d'informations plus importantes. Ces deux projets présentent des différences fondamentales sur le plan architectural.

Les compétences d'OpenClaw sont des fichiers Markdown statiques, rédigés à la main par les utilisateurs et diffusés via la plateforme ClawHub. Selon un audit réalisé en février par l'équipe de sécurité de Snyk, sur les 5 700 compétences répertoriées sur ClawHub, 1 467 ont été identifiées comme malveillantes, notamment le vol d'identifiants, le minage de cryptomonnaies, les portes dérobées persistantes et l'injection de messages. Parmi eux, 91 % ont combiné l'injection immédiate avec des techniques traditionnelles de logiciels malveillants. Le nombre maximal d'installations pour une seule compétence malveillante a dépassé les 340 000.

Hermes Agent a suivi une voie totalement différente. Ses compétences ne sont pas définies par les utilisateurs, mais générées par l'agent lui-même. Une fois une tâche complexe accomplie (impliquant généralement plus de 5 appels d'outils), Hermes synthétise l'expérience d'exécution sous forme de documents de compétences réutilisables, stockés au format Markdown structuré conformément à la norme ouverte agentskills.io. Lorsqu'il est confronté à des tâches similaires par la suite, l'agent mobilise et optimise automatiquement ces compétences. Un cycle de réflexion est automatiquement déclenché toutes les 15 tâches afin d'évaluer quelles compétences sont efficaces et lesquelles doivent être améliorées.

La conception du système de mémoire est également radicalement différente. OpenClaw s'appuie sur trois fichiers en texte brut (SOUL.md pour la gestion des personas, MEMORY.md pour les notes et USER.md pour les profils utilisateur), et la mémoire inter-sessions nécessite une configuration manuelle de la part de l'utilisateur. Hermes intègre une architecture hiérarchique persistante : une couche de notes persistantes, la recherche en texte intégral FTS5, la modélisation des utilisateurs Honcho et la séparation entre stockage « chaud » et « froid », prenant en charge six backends modulaires. Les utilisateurs n'ont rien à gérer manuellement ; c'est l'Agent qui décide ce qu'il faut retenir et ce qu'il faut oublier.

Les différences entre les modèles de sécurité sont encore plus évidentes. La configuration de sécurité par défaut d'OpenClaw a été qualifiée de « faible » par les chercheurs en sécurité, l'authentification au niveau de la passerelle étant désactivée par défaut et l'exécution des compétences s'effectuant sans isolation en bac à sable. Dès le premier jour, Hermes intègre des fonctionnalités d'analyse des commandes, de filtrage des identifiants, d'analyse contextuelle et de renforcement de la sécurité des conteneurs (système de fichiers racine en lecture seule + suppression des capacités). Au 9 avril, Hermes Agent ne faisait l'objet d'aucune vulnérabilité CVE répertoriée publiquement.

En gros, OpenClaw est une « boîte à outils » à laquelle vous indiquez ce qu'elle doit faire. Hermes est un « assistant évolutif » qui apprend à mieux faire les choses en les pratiquant.

Le rythme des itérations en dit long. Au cours des 42 jours qui se sont écoulés entre les versions v0.1.0 et v0.8.0, la version v0.2.0 d'Hermes Agent a, à elle seule, intégré 216 pull requests, résolu 119 tickets, pris en charge 7 plateformes de messagerie et généré 3 289 tests. D'après les données de GitHub, 27 000 étoiles correspondent à 242 contributeurs, ce qui donne un rapport contributeurs/étoiles de 1 pour 111. Cela signifie qu'un abonné sur 111 écrit du code, ce qui témoigne d'une densité de participation communautaire bien plus élevée que celle d'OpenClaw.

Ce qui est encore plus remarquable, c'est l'équipe qui se cache derrière Hermès. Nous Research n'est pas une start-up apparue du jour au lendemain. Ils ont fait leurs débuts au sein de la communauté Discord en 2022 et ont mis trois ans à s'imposer comme l'un des acteurs les plus influents dans le domaine des modèles d'IA open source. D'après les données de HuggingFace, les modèles de la série Hermes ont été téléchargés plus de 33 millions de fois. De Hermes 1 en 2023 (réglage fin de LLaMA 13B, classé premier dans plusieurs tests de performance) à Hermes 4 en 2025 (70 milliards de paramètres), puis à Hermes Agent, cette ligne de développement est cohérente : on commence par construire le modèle, puis on développe l'Agent, les capacités du modèle servant de base aux capacités de l'Agent.

Leurs racines se trouvent dans le Web3. Jeffrey Quesnelle, PDG, était auparavant ingénieur en chef du projet d'infrastructure MEV Ethereum Eden Network. Le tour de table de démarrage de janvier 2024 a été mené par Distributed Global et OSS Capital, avec une participation personnelle de Raj Gokal, cofondateur de Solana. En avril 2025, Paradigm, l'un des plus importants fonds de capital-risque du secteur des cryptomonnaies, a mené un tour de table de série A de 50 millions de dollars, avec une valorisation de l'entreprise à 1 milliard de dollars. Il convient de noter qu'il s'agit d'une valorisation de jetons, et non d'une valorisation traditionnelle des actions.

Cela signifie que Nous Research est nativement Web3, tant au niveau de sa structure de gouvernance que de son architecture technique. Leur réseau Psyche repose sur la blockchain Solana et sert d'infrastructure décentralisée pour l'entraînement des IA. Hermes 4.3, lancé en décembre 2025, est le premier modèle entièrement formé sur le réseau Psyche, grâce à l'utilisation de cartes graphiques grand public réparties dans le monde entier, plutôt que de s'appuyer sur des centres de données centralisés.

L'influence des équipes Web3 sur le circle-87">milieu de l'IA n'est pas un cas isolé. Le 31 mars, un ingénieur du nom de Chaofan Shou a découvert une fuite du code source d'Anthropic Claude. L'absence d'un fichier .npmignore a entraîné la publication publique de 512 000 lignes de code TypeScript sur npm. Selon VentureBeat, le dépôt miroir qui a fait l'objet d'une fuite a reçu 100 000 étoiles en moins de 24 heures. Chaofan Shou est également ingénieur chez Solayer Labs et cofondateur de Fuzzland, une entreprise spécialisée dans la sécurité des blockchains. Ce chercheur en sécurité Web3 a abandonné ses études à l'université de Berkeley et a été à l'origine de l'une des plus importantes fuites de code dans le domaine de l'IA en 2026.

Ce que fait Nous Research est fondamentalement similaire : il s'agit de transposer les méthodologies développées par la communauté Web3 (priorité à l'open source, gouvernance décentralisée, itération pilotée par la communauté) à la couche d'infrastructure des agents IA. La rapidité d'itération d'Hermes Agent, avec 8 versions majeures en 42 jours, est en quelque sorte le fruit de cette méthodologie.

La crise de sécurité d'OpenClaw est un catalyseur, mais pas la cause. La véritable question est de savoir comment les agents IA doivent être conçus. Devraient-ils mettre à la disposition des utilisateurs une boîte à outils qu'ils peuvent assembler eux-mêmes, ou créer un système capable d'apprendre et d'évoluer de manière autonome ? Nous Research a consacré trois ans et 33 millions de téléchargements de modèles à répondre à cette dernière question, puis a transformé cette réponse en produit en 42 jours.