Uma vulnerabilidade de alta gravidade foi descoberta no OpenClaw (anteriormente conhecido como Clawdbot e Moltbot), permitindo a execução remota de código (RCE) por meio de um link malicioso especialmente criado.
A falha, identificada como
CVE-2026-25253
e com pontuação 8,8 na escala CVSS, foi corrigida na versão 2026.1.29, lançada em 30 de janeiro de 2026.
Trata-se de uma vulnerabilidade de exfiltração de token que pode resultar na tomada completa de controle do gateway.
Peter Steinberger, criador e mantenedor do OpenClaw, explica que “a interface de controle confia no parâmetro gatewayUrl enviado na URL sem qualquer validação e conecta automaticamente ao carregar, enviando o token armazenado do gateway no payload da conexão WebSocket”.
Isso significa que, ao clicar em um link malicioso ou visitar um site comprometido, o token pode ser enviado para um servidor controlado pelo atacante, que então se conecta ao gateway local da vítima, altera configurações importantes (como sandbox e políticas de ferramentas) e executa ações privilegiadas, resultando em uma RCE com um único clique.
O OpenClaw é um assistente pessoal autônomo de inteligência artificial (AI), open source, que roda localmente nos dispositivos dos usuários e se integra a diversas plataformas de mensagens.
Desde seu lançamento, em novembro de 2025, o projeto vem ganhando destaque rapidamente, atingindo mais de 149 mil estrelas no GitHub até o momento.
Segundo Steinberger, “o OpenClaw é uma plataforma aberta que roda na sua máquina e funciona com os apps de chat que você já usa.
Diferente dos assistentes SaaS, onde seus dados ficam em servidores de terceiros, o OpenClaw opera onde você escolher — seja laptop, homelab ou VPS.
Sua infraestrutura, suas chaves, seus dados.”
Mav Levin, pesquisador de segurança e fundador da depthfirst, identificou a vulnerabilidade.
Ele destaca que a falha permite criar uma cadeia de exploração de RCE que ocorre em milissegundos após o usuário visitar uma página maliciosa.
Isso acontece porque o servidor do OpenClaw não valida o cabeçalho de origem (origin) do WebSocket, facilitando um ataque de cross-site WebSocket hijacking.
A falha ignora as restrições da rede local (localhost), permitindo que qualquer site malicioso envie requisições ao servidor.
Ao explorar essa vulnerabilidade, uma página maliciosa pode executar um script JavaScript no navegador da vítima para capturar o token de autenticação, estabelecer uma conexão WebSocket com o servidor e usar esse token para burlar a autenticação, acessando a instância do OpenClaw.
Além disso, usando as permissões privilegiadas do token — operator.admin e operator.approvals — o atacante pode desativar confirmações necessárias para execuções, ajustando "exec.approvals.set" para "off", e escapar do container Docker que isola as ferramentas shell, alterando "tools.exec.host" para "gateway".
Isso força o agente a executar comandos diretamente no sistema host, fora do container, ampliando o risco.
Por fim, o script malicioso pode enviar um pedido node.invoke para disparar a execução arbitrária de comandos.
Steinberger ressalta que “a vulnerabilidade pode ser explorada mesmo em instâncias configuradas para escutar apenas no loopback, porque o navegador da vítima inicia a conexão externa.” Ele reforça que “impacta qualquer implantação do Moltbot em que o usuário já tenha autenticado na interface de controle.
O atacante obtém acesso de nível operador na API do gateway, permitindo alterações arbitrárias na configuração e execução de código no host.
O ataque funciona mesmo quando o gateway está ligado ao loopback, pois o navegador da vítima atua como intermediário.”
Esse incidente destaca a importância da validação rigorosa de cadeias de entrada e cabeçalhos em aplicações que lidam com autenticação via WebSocket, especialmente em sistemas locais e ferramentas autônomas.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...