OpenClaw ha solucionado un problema de seguridad de reincorporación alcance que, si se hubiera explotado con éxito, podría activo permitido que un sitio web ladino se conectara a un agente de inteligencia químico (IA) que se ejecuta localmente y tomara el control.
“Nuestra vulnerabilidad reside en el sistema central mismo: sin complementos, sin mercado, sin extensiones instaladas por el heredero, solo la puerta de enlace OpenClaw, que se ejecuta exactamente como está documentado”, dijo Oasis Security en un documentación publicado esta semana.
La equivocación ha sido nombrada en código. GarraJacked por la empresa de ciberseguridad.
El ataque asume el subsiguiente maniquí de amenaza: un desarrollador tiene OpenClaw configurado y ejecutándose en su computadora portátil, con su puerta de enlace, un servidor WebSocket específico, vinculado a localhost y protegido por una contraseña. El ataque se activa cuando el desarrollador llega a un sitio web controlado por un atacante mediante ingeniería social o algún otro medio.
La secuencia de infección sigue los pasos siguientes:
- JavaScript ladino en la página web abre una conexión WebSocket al host específico en el puerto de puerta de enlace de OpenClaw.
- El script aplica fuerza bruta a la contraseña de la puerta de enlace aprovechando un mecanismo de demarcación de velocidad que equivocación.
- A posteriori de una autenticación exitosa con permisos de nivel de administrador, el script se registra sigilosamente como un dispositivo confiable, que la puerta de enlace aprueba automáticamente sin ningún aviso del heredero.
- El atacante obtiene control total sobre el agente de IA, lo que le permite interactuar con él, volcar datos de configuración, enumerar los nodos conectados y repasar registros de aplicaciones.
“Cualquier sitio web que visite puede destapar uno en su host específico. A diferencia de las solicitudes HTTP normales, el navegador no bloquea estas conexiones entre orígenes”, dijo Oasis Security. “Entonces, mientras navega por cualquier sitio web, JavaScript que se ejecuta en esa página puede destapar silenciosamente una conexión a su puerta de enlace OpenClaw específico. El heredero no ve ausencia”.
“Esa confianza fuera de motivo tiene consecuencias reales. La puerta de enlace relaja varios mecanismos de seguridad para las conexiones locales, incluida la aprobación silenciosa de nuevos registros de dispositivos sin avisar al heredero. Normalmente, cuando se conecta un nuevo dispositivo, el heredero debe confirmar el emparejamiento. Desde localhost, es automotriz”.
Tras una divulgación responsable, OpenClaw implementó una alternativa en menos de 24 horas con la lectura 2026.2.25 lanzazo el 26 de febrero de 2026. Se recomienda a los usuarios que apliquen las últimas actualizaciones lo antaño posible, auditen periódicamente el paso otorgado a los agentes de IA y apliquen controles de gobernanza adecuados para las identidades no humanas (además conocidas como agentes).
El mejora se produce en medio de un pesquisa de seguridad más amplio del ecosistema OpenClaw, principalmente correcto al hecho de que los agentes de IA tienen paso arraigado a sistemas dispares y la autoridad para ejecutar tareas a través de herramientas empresariales, lo que lleva a un radiodifusión de arrebato significativamente viejo en caso de hallarse comprometidos.
Los informes de Bitsight y NeuralTrust han detallado cómo las instancias de OpenClaw que se dejan conectadas a Internet representan una superficie de ataque ampliada, con cada servicio integrado ampliando aún más el radiodifusión de arrebato y se puede trocar en un arsenal de ataque al incorporar inyecciones rápidas en el contenido (por ejemplo, un correo electrónico o un mensaje de Slack) procesado por el agente para ejecutar acciones maliciosas.
La divulgación se produce cuando OpenClaw además parchó una vulnerabilidad de envenenamiento de registros que permitía a los atacantes escribir contenido ladino para registrar archivos a través de solicitudes WebSocket en una instancia de paso divulgado en el puerto TCP 18789.
Entregado que el agente lee sus propios registros para solucionar ciertas tareas, un actor de amenazas podría forzar de la error de seguridad para incorporar inyecciones indirectas, lo que tendría consecuencias no deseadas. El problema se solucionó en la lectura 2026.2.13, que se envió el 14 de febrero de 2026.
“Si el texto inyectado se interpreta como información operativa significativa en motivo de una entrada no confiable, podría influir en las decisiones, sugerencias o acciones automatizadas”, dijo Eye Security. “Por lo tanto, el impacto no sería una ‘adquisición instantánea’, sino más proporcionadamente: manipulación del razonamiento del agente, influencia en los pasos de alternativa de problemas, posible divulgación de datos si el agente es guiado para revelar el contexto y mal uso indirecto de las integraciones conectadas”.
En las últimas semanas, OpenClaw además ha resultado susceptible a múltiples vulnerabilidades (CVE-2026-25593, CVE-2026-24763, CVE-2026-25157, CVE-2026-25475, CVE-2026-26319, CVE-2026-26322, CVE-2026-26329), que varían de alcance moderada a reincorporación, y que podrían dar como resultado la ejecución remota de código, inyección de comandos, falsificación de solicitudes del flanco del servidor (SSRF), omisión de autenticación y cruce de rutas. Las vulnerabilidades se abordaron en las versiones de OpenClaw 2026.1.20, 2026.1.29, 2026.2.1, 2026.2.2 y 2026.2.14.
“A medida que los marcos de agentes de IA se vuelven más frecuentes en los entornos empresariales, el estudio de seguridad debe progresar para acometer tanto las vulnerabilidades tradicionales como las superficies de ataque específicas de la IA”, afirmó Endor Labs.
Por otra parte, una nueva investigación ha demostrado que las habilidades maliciosas cargadas en ClawHub, un mercado despejado para descargar habilidades de OpenClaw, se están utilizando como conductos para entregar una nueva variación de Atomic Stealer, un cleptómano de información de macOS desarrollado y alquilado por un actor de delitos cibernéticos conocido como Cookie Spider.
“La dependencia de infección comienza con un SKILL.md frecuente que instala un requisito previo”, dijo Trend Micro. “La tiento parece inofensiva en la superficie e incluso fue etiquetada como benigna en VirusTotal. Luego, OpenClaw va al sitio web, indagación las instrucciones de instalación y continúa con la instalación si el LLM decide seguir las instrucciones”.
Las instrucciones alojadas en el sitio web “openclawcli.vercel(.)app” incluyen un comando ladino para descargar una carga útil de cleptómano desde un servidor extranjero (“91.92.242(.)30”) y ejecutarla.
Los cazadores de amenazas además han señalado una nueva campaña de entrega de malware en la que se ha identificado a un actor de amenazas con el nombre @liuhui1010, que deja comentarios en páginas legítimas de listas de habilidades, instando a los usuarios a ejecutar explícitamente un comando que proporcionaron en la aplicación Terminal si la tiento “no funciona en macOS”.
El comando está diseñado para recuperar Atomic Stealer de “91.92.242(.)30”, una dirección IP previamente documentada por Koi Security y OpenSourceMalware para distribuir el mismo malware a través de habilidades maliciosas cargadas en ClawHub.
Es más, un estudio fresco de 3.505 habilidades de ClawHub realizado por la empresa de seguridad de inteligencia químico Straiker ha descubierto no menos de 71 habilidades maliciosas, algunas de las cuales se hacían producirse por herramientas de criptomonedas legítimas pero contenían funciones ocultas para redirigir fondos a billeteras controladas por actores de amenazas.
Otras dos habilidades, bob-p2p-beta y runware, se han atribuido a una estafa de criptomonedas de múltiples capas que emplea una dependencia de ataque de agente a agente dirigida al ecosistema de agentes de IA. Las habilidades se han atribuido a un actor de amenazas que opera bajo los seudónimo “26medias” en ClawHub y “BobVonNeumann” en Moltbook y X.
“BobVonNeumann se presenta como un agente de IA en Moltbook, una red social diseñada para que los agentes interactúen entre sí”, dijeron los investigadores Yash Somalkar y Dan Regalado. “Desde esa posición, promueve sus propias habilidades maliciosas directamente a otros agentes, explotando la confianza que los agentes están diseñados para tenderse entre sí de forma predeterminada. Es un ataque a la dependencia de suministro con una capa de ingeniería social construida encima”.
Sin incautación, lo que hace bob-p2p-beta es instruir a otros agentes de inteligencia químico para que almacenen las claves privadas de la billetera Solana en texto sin formato, compren tokens $BOB sin valía en pump.fun y enruten todos los pagos a través de una infraestructura controlada por el atacante. La segunda tiento pretende ofrecer una aparejo de gestación de imágenes benigna para difundir credibilidad del desarrollador.
Entregado que ClawHub se está convirtiendo en un nuevo contorno fértil para los atacantes, se recomienda a los usuarios auditar las habilidades antaño de instalarlas, evitar proporcionar credenciales y claves a menos que sea esencial y monitorear el comportamiento de las habilidades.
Los riesgos de seguridad asociados con los tiempos de ejecución de agentes autohospedados como OpenClaw además han llevado a Microsoft a emitir un aviso, advirtiendo que la implementación sin vigilancia podría allanar el camino para la exposición/exfiltración de credenciales, modificación de la memoria y compromiso del host si se puede engañar al agente para que recupere y ejecute código ladino, ya sea a través de habilidades envenenadas o inyecciones rápidas.
“Oportuno a estas características, OpenClaw debe tratarse como una ejecución de código no confiable con credenciales persistentes”, dijo el equipo de investigación de seguridad de Microsoft Defender. “No es apropiado ejecutarlo en una temporada de trabajo personal o empresarial en serie”.
“Si una ordenamiento determina que OpenClaw debe ser evaluado, debe implementarse solo en un entorno completamente incidental, como una máquina potencial dedicada o un sistema físico separado. El tiempo de ejecución debe usar credenciales dedicadas y sin privilegios y conseguir solo a datos no confidenciales. El monitoreo continuo y un plan de reconstrucción deben ser parte del maniquí eficaz”.
