Foram revelados detalhes sobre três falhas de segurança já corrigidas no assistente pessoal de inteligência artificial OpenClaw que, se exploradas com sucesso, poderiam permitir roubo de credenciais, elevação de privilégios e execução arbitrária de código no host.
Em resumo, as vulnerabilidades de alta gravidade são as seguintes:
GHSA-hjr6-g723-hmfm, com pontuação CVSS 8,8, é uma injeção de comando no sistema operacional e uma falha na lista incompleta de entradas proibidas, afetando o mecanismo de filtragem do ambiente de execução do host.
Isso poderia permitir a execução de ações ou a persistência de ações além da autorização pretendida pelo chamador.
GHSA-9969-8g9h-rxwm, também com CVSS 8,8, tem a mesma natureza, uma injeção de comando no sistema operacional e uma falha na lista incompleta de entradas proibidas, com impacto no mecanismo de filtragem do ambiente de execução do host.
O problema também poderia permitir a execução de ações ou a persistência de ações além da autorização prevista.
GHSA-575v-8hfq-m3mc, com pontuação CVSS 8,4, é uma vulnerabilidade de travessia de caminho e de seguimento de links.
Ela poderia permitir que montagens vinculadas do sandbox burlassem verificações de negação para o diretório pai e executassem ações que deveriam estar protegidas por controles mais fortes de autorização ou política.
As três falhas foram corrigidas na versão 2026.6.6 do OpenClaw.
Em uma série de alertas divulgados na semana passada, os mantenedores do OpenClaw afirmaram que o “impacto prático depende da configuração do operador e de saber se entradas de menor confiança conseguem alcançar esse caminho”.
No entanto, o pesquisador de segurança Chinmohan Nayak, creditado por descobrir e relatar os problemas, disse em relatório compartilhado com o The Hacker News que as falhas podem ser usadas para disparar execução de código no host a partir de uma mensagem externa enviada via WhatsApp.
Diferentemente das vulnerabilidades do Claw Chain divulgadas pela Cyera em maio, os novos bugs identificados não exigem que o atacante estabeleça uma posição inicial para extrair dados sensíveis, instalar um backdoor persistente, obter execução remota arbitrária de código e facilitar uma fuga do sandbox para o host.
“`getBlockedReasonForSourcePath()` verifica se o caminho de origem está dentro de um caminho bloqueado”, explicou o pesquisador sobre a GHSA-575v-8hfq-m3mc.
“Mas [ela] nunca verifica o inverso, ou seja, se um caminho bloqueado está dentro da origem, o que permite burlar o diretório pai.”
Na prática, a lista de negação para montagens vinculadas bloqueia diretórios como `~/.ssh`, `~/.aws` e `~/.gnupg`, mas permite montar o diretório pai `/home` ou `/var`, contornando as proteções individuais.
“Monte `/home` no seu contêiner e você poderá ler as chaves SSH, as credenciais da AWS e os segredos GPG de todos os usuários”, disse Nayak.
“Monte `/var` e você terá acesso ao socket do Docker, o que significa fuga total do host a partir de dentro do ‘sandbox’.”
Além de atualizar o OpenClaw para a versão mais recente, a recomendação é habilitar o modo sandbox para todas as sessões que não sejam a principal, remover `exec` da lista de permissão de ferramentas para agentes voltados a canais de comunicação e monitorar comandos `git clone` que contenham o auxiliar de protocolo externo `ext::`, que pode ser abusado para executar comandos arbitrários no sistema.
“Antes de atualizar, restrinja o recurso afetado a operadores de confiança ou desative-o quando ele não for necessário”, afirmou o OpenClaw.
“Como medida geral de reforço, mantenha as listas de canais e ferramentas o mais restritas possível, evite compartilhar um único Gateway entre usuários mutuamente não confiáveis e desative o recurso afetado quando ele não for necessário.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...