OpenClaw corrigiu uma vulnerabilidade de alta gravidade que, se explorada com sucesso, poderia permitir que um site malicioso se conectasse a um agente de inteligência artificial (IA) em execução localmente e assumisse o seu controle.
De acordo com um relatório divulgado nesta semana, a falha está no próprio sistema principal — sem envolver plugins, marketplace ou extensões instaladas pelo usuário — afetando apenas o gateway OpenClaw rodando exatamente conforme documentado.
A empresa batizou o problema de “ClawJacked”.
O ataque presume o seguinte cenário: um desenvolvedor com o OpenClaw instalado e ativo em seu laptop, com o gateway ligado ao localhost via um servidor WebSocket local protegido por senha.
A exploração ocorre quando o usuário acessa um site controlado pelo atacante, seja por meio de engenharia social ou outro método.
A sequência do ataque é a seguinte:
1. Um script JavaScript malicioso no site abre uma conexão WebSocket para o localhost, na porta do gateway OpenClaw.
2. O script realiza um brute-force na senha do gateway, explorando a ausência de um mecanismo de limitação de tentativas.
3. Após autenticar-se com permissões administrativas, o script registra silenciosamente o dispositivo como confiável — uma ação automaticamente aceita pelo gateway, sem qualquer notificação ao usuário.
4. O invasor passa a ter controle total sobre o agente de IA, podendo interagir com ele, coletar dados de configuração, listar nós conectados e acessar logs da aplicação.
“O navegador não bloqueia essas conexões cross-origin para localhost, ao contrário das requisições HTTP convencionais”, explica a Oasis Security.
“Assim, enquanto você navega, o JavaScript da página pode abrir silenciosamente uma conexão com seu gateway local do OpenClaw, sem que você perceba.”
Esse excesso de confiança no ambiente local tem consequências graves.
O gateway flexibiliza várias medidas de segurança para conexões locais, incluindo a aprovação automática de novos dispositivos confiáveis, sem exigir confirmação do usuário — algo que normalmente ocorreria caso a conexão viesse de outro dispositivo.
Após a divulgação responsável, a equipe do OpenClaw lançou um patch menos de 24 horas depois, na versão 2026.2.25, disponibilizada em 26 de fevereiro de 2026.
Os usuários são recomendados a atualizar imediatamente, revisar periodicamente as permissões concedidas aos agentes de IA e implementar controles rigorosos para identidades não humanas.
O caso ocorre num momento de maior atenção à segurança do ecossistema OpenClaw, principalmente porque os agentes de IA têm acesso amplo a diversos sistemas e podem executar tarefas em múltiplas ferramentas corporativas.
Isso amplia consideravelmente o impacto potencial em caso de comprometimento.
Relatórios da Bitsight e NeuralTrust mostraram que instâncias do OpenClaw expostas na internet aumentam a superfície de ataque, com serviços integrados que ampliam o alcance da ameaça e podem ser usados para injetar comandos maliciosos (prompt injections) em conteúdos processados pelo agente, como e-mails ou mensagens de Slack.
Além do ClawJacked, foi corrigida outra vulnerabilidade de log poisoning que permitia a injeção de conteúdo malicioso em arquivos de log via WebSocket em uma instância pública, na porta TCP 18789.
Como o agente lê seus próprios logs para diagnosticar problemas, esse vetor poderia ser usado para injetar comandos indiretos, causando manipulação do agente, vazamento de dados e abuso das integrações conectadas.
Esse problema foi solucionado na versão 2026.2.13, lançada em 14 de fevereiro de 2026.
Nas últimas semanas, diversas outras vulnerabilidades (
CVE-2026-25593
,
CVE-2026-24763
,
CVE-2026-25157
, entre outras) foram identificadas, variando de moderadas a críticas, possibilitando execução remota de código, injeção de comandos, SSRF, bypass de autenticação e path traversal.
Essas falhas foram corrigidas em versões lançadas entre janeiro e fevereiro de 2026.
“À medida que frameworks de agentes de IA ganham espaço em ambientes corporativos, a análise de segurança precisa evoluir para cobrir tanto vulnerabilidades tradicionais quanto superfícies de ataque específicas desses agentes”, ressaltou a Endor Labs.
Outra ameaça vem do marketplace ClawHub, onde pesquisas recentes identificaram skills maliciosas usadas para distribuir uma nova variante do Atomic Stealer, malware de roubo de informações para macOS, desenvolvido e alugado por um ator conhecido como Cookie Spider.
Essa cadeia maliciosa começa com a instalação de uma skill aparentemente inofensiva — até rotulada como benign para ferramentas como VirusTotal — que busca instruções de instalação hospedadas em “openclawcli.vercel[.]app”.
Essas instruções incluem comandos maliciosos para baixar e executar o payload do stealer a partir do servidor “91.92.242[.]30”.
Caçadores de ameaças também identificaram uma campanha em que o ator “@liuhui1010” deixa comentários em páginas legítimas de skills, orientando usuários a executar comandos específicos no Terminal caso a skill “não funcione no macOS”.
Esse comando recupera o Atomic Stealer do mesmo servidor citado anteriormente, um IP já monitorado por outras equipes de segurança.
Uma análise da empresa Straiker sobre 3.505 skills no ClawHub revelou 71 maliciosas, algumas camufladas como ferramentas legítimas de criptomoedas, mas que ocultavam funções para redirecionar fundos a carteiras controladas por criminosos.
Duas skills, “bob-p2p-beta” e “runware”, foram associadas a um golpe complexo envolvendo ataques entre agentes de IA, visando o ecossistema.
O autor, conhecido como “26medias” no ClawHub e “BobVonNeumann” em outras plataformas, utiliza a rede social Moltbook para promover suas skills maliciosas diretamente para outros agentes, explorando o mecanismo de confiança entre eles.
Trata-se de um ataque à cadeia de suprimentos com componente de engenharia social.
A skill “bob-p2p-beta” pede que agentes de IA armazenem chaves privadas de carteiras Solana em texto simples, comprem tokens $BOB sem valor real e redirecionem pagamentos para uma infraestrutura controlada pelo atacante.
A “runware” oferece uma falsa ferramenta de geração de imagens, usada para aumentar a credibilidade do desenvolvedor.
Diante desse cenário, recomenda-se cautela ao instalar skills — sempre realizar auditorias, evitar fornecer credenciais e monitorar comportamentos suspeitos.
Os riscos de segurança em ambientes self-hosted como o OpenClaw motivaram a Microsoft a emitir um alerta.
A empresa adverte que uma implantação sem proteção pode facilitar exposição de credenciais, modificação de memória e comprometimento do host, especialmente se o agente for induzido a executar código malicioso via skills contaminadas ou injeções de prompt.
“Pelas suas características, o OpenClaw deve ser tratado como código não confiável com credenciais persistentes”, conclui a equipe do Microsoft Defender Security Research.
“Não é adequado rodar em estações pessoais ou corporativas.
Se for necessário avaliar, deve ser implantado em ambientes isolados, como máquinas virtuais dedicadas, com credenciais não privilegiadas, acesso restrito a dados não sensíveis, monitoramento contínuo e planos de recuperação.”
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...