Un agent IA qui clique, remplit des formulaires et exécute des commandes à votre place : la promesse a quitté la démo pour devenir un produit. Mais derrière la question « lequel est le plus malin ? » s'en cache une autre, bien plus déterminante : où cet agent s'exécute-t-il — et donc, qui voit vos données et que peut-il casser ? Ce comparatif d'agents OS répond d'abord à cela : un agent OS comparatif utile commence par le « où », pas par le « lequel ». Au passage, un rappel utile : « Operator » n'existe plus en tant que tel, il a été fondu dans « ChatGPT agent » à l'été 2025.
La vraie question n'est pas « lequel », c'est « où »
Tous ces agents savent piloter un ordinateur. Ce qui les sépare vraiment, c'est l'endroit où ils tournent — car cet endroit décide de deux choses : qui a accès à vos données, et l'ampleur des dégâts possibles en cas d'erreur. Trois modèles d'exécution coexistent.
Dans le cloud distant, l'agent agit sur un ordinateur virtuel hébergé par l'éditeur : votre poste est protégé, mais vos données transitent chez lui. Dans votre navigateur, une extension agit dans vos onglets déjà connectés — pratique, mais elle voit vos cookies et vos sessions. Sur votre vraie machine, en local, l'agent a le plus de pouvoir et rien ne sort de chez vous — au prix d'une exposition directe de vos fichiers et de votre terminal. Plus l'agent est proche de votre machine, plus il est puissant, et plus une bévue coûte cher.
Une IA qui ne se contente pas de répondre, mais qui agit : elle voit un écran (souvent via des captures), déplace le curseur, tape, clique, enchaîne des étapes pour accomplir une tâche. C'est la différence avec un simple chatbot, détaillée dans pourquoi un agent IA n'est pas un chatbot.
Quatre agents, qui pilote quoi
Voici les options sérieuses, classées par ce qu'elles pilotent réellement.
ChatGPT agent (qui a absorbé l'ancien Operator) travaille dans un ordinateur virtuel dans le cloud : il dispose d'un navigateur visuel, d'un navigateur texte, d'un terminal et d'un interpréteur de code. Disponible dès le plan Plus (puis Pro, Team), avec des quotas — 40 messages par mois sur Plus, 400 sur Pro — et des tâches qui durent typiquement de 5 à 30 minutes.
Claude for Chrome est une extension qui agit dans votre navigateur : elle lit les pages, clique, remplit des formulaires dans vos onglets. Après une phase de preview en 2025, elle est ouverte aux plans payants (Pro, Team, Enterprise) depuis décembre 2025, sur Chrome et Edge.
Claude Computer Use vise l'ordinateur complet : capture d'écran, souris et clavier sur n'importe quelle application. C'est un outil pour développeurs, toujours en beta, accessible via l'API (et les plateformes cloud comme Amazon Bedrock ou Google Vertex AI). Son éditeur recommande explicitement de l'isoler dans une machine virtuelle à privilèges minimaux.
OpenClaw incarne la voie locale et open-source (licence MIT, plus de 100 000 étoiles sur GitHub). Il tourne sur votre propre poste et pilote navigateur, fichiers et terminal. Atout de souveraineté : il fonctionne avec le modèle de votre choix, y compris des modèles exécutés en local, sans clé d'API cloud. À ses côtés, Claude Cowork propose un agent de bureau, via une application desktop, disponible sur les plans payants.
Lequel pour quel usage
- Pour essayer sans rien installer ni risquer sa machine : ChatGPT agent, dans le cloud.
- Pour automatiser des tâches web sur des sites où vous êtes connecté : Claude for Chrome.
- Pour un usage développeur, intégré à un produit : Claude Computer Use (en environnement isolé).
- Pour tout garder chez soi, modèle compris : OpenClaw, en local.
Le fil rouge : l'injection de prompt
Quel que soit l'endroit où il tourne, un agent qui lit le web partage une faiblesse. C'est le sujet que tout comparatif sérieux doit aborder, et qu'aucune démo ne montre.
L'injection de prompt consiste à cacher des instructions dans une page web ou un document — parfois en texte blanc invisible — que l'agent va lire et exécuter à votre insu : exfiltrer une donnée, valider un achat, envoyer un message. C'est classé risque n°1 des grands modèles de langage par l'OWASP. Et le point honnête, c'est que les éditeurs ne prétendent pas l'avoir résolu : « aucun agent navigateur n'est immunisé », reconnaît l'un d'eux ; OpenAI évoque un problème qui pourrait ne jamais être totalement éliminé.
Les défenses progressent — pour Claude for Chrome, les attaques ciblées réussissent dans 23,6 % des cas sans protection, ramenées à 11,2 % avec — mais elles réduisent le risque sans l'annuler. D'où les garde-fous communs : confirmation avant les actions sensibles, permissions par site, mode « reprise en main », bac à sable côté agents locaux. Le bon réflexe n'est pas de faire confiance, mais de rester dans la boucle.
- Ne le laissez pas seul sur des sites sensibles (banque, juridique, médical) ni sur des données confidentielles.
- Gardez les confirmations actives : un agent qui agit sans demander est un agent dangereux.
- Isolez : compte de test, environnement dédié ou machine virtuelle, surtout pour les agents qui touchent à vos fichiers.
Lents (5 à 30 minutes par tâche), parfois bloqués, ils demandent souvent confirmation. Ce n'est pas un défaut de jeunesse à ignorer, mais un choix de conception : la prudence est volontaire. Traitez l'agent comme un stagiaire prometteur, pas comme un pilote automatique.
Testez vous-même : le protocole prudent
Plutôt qu'un verdict « du meilleur agent » — qui dépend de votre usage et évolue chaque mois —, voici un protocole reproductible et sans risque :
- Choisissez selon l'endroit : ChatGPT agent (cloud) pour démarrer sans exposer votre poste.
- Donnez-lui une tâche à faibles enjeux et publique (rassembler des infos, remplir un formulaire de test) — jamais un accès bancaire.
- Gardez les confirmations actives et observez : où hésite-t-il, où se trompe-t-il ?
- Mesurez le temps réel de la tâche, confirmations comprises.
- Pour un usage local (OpenClaw, Computer Use), commencez en environnement isolé avant tout accès à vos vrais fichiers.
En une session, vous saurez si l'agent tient sa promesse pour votre cas — et surtout, à quel niveau de surveillance.
- La vraie question est « où » : cloud (données chez l'éditeur, poste protégé), navigateur (vos onglets connectés), local (tout reste, mais machine exposée).
- Quatre agents : ChatGPT agent (cloud), Claude for Chrome (navigateur), Claude Computer Use (ordinateur, API beta), OpenClaw (local, open-source).
- Operator n'existe plus : il est fondu dans ChatGPT agent.
- Le risque n°1 est l'injection de prompt : réduite mais jamais éliminée — les éditeurs eux-mêmes ne promettent pas l'infaillibilité.
- Restez dans la boucle : confirmations, permissions par site, isolation. L'agent est un stagiaire, pas un pilote automatique.
Comprendre d'abord ce qui distingue un agent d'un chatbot ; garder ses données chez soi avec une IA locale sur Mac ; ou faire bâtir une appli web en un weekend par un assistant de code.
Cette analyse fait partie de notre veille Outils & IA. Pour recevoir les prochains décryptages et le panorama complet, téléchargez l'Atlas IA 2026 et abonnez-vous à la newsletter AISKILLSPRO.