OpenClaw ha solucionado un problema de seguridad de alta gravedad que, si se explota con éxito, podría permitir que un sitio web malicioso se conecte y tome el control de un agente de inteligencia artificial (IA) que se ejecuta localmente.
«Nuestra vulnerabilidad reside en el sistema central mismo, sin complementos, mercados ni extensiones instaladas por el usuario, solo una puerta de enlace OpenClaw que funciona según lo documentado», dijo Oasis Security en un informe publicado esta semana.
La falla ha recibido el nombre en código «ClawJacked» de la empresa de ciberseguridad.
Este ataque asume el siguiente modelo de amenaza: el desarrollador vincula la puerta de enlace, un servidor WebSocket local al host local, y configura y ejecuta OpenClaw en una computadora portátil protegida con contraseña. El ataque comienza cuando un desarrollador accede a un sitio web controlado por un atacante mediante ingeniería social u otros medios.
La secuencia de infección sigue estos pasos:
JavaScript malicioso en la página web abre una conexión WebSocket al host local en el puerto de puerta de enlace de OpenClaw. Este script aprovecha el mecanismo de limitación de velocidad que falta para forzar la contraseña de la puerta de enlace. Tras una autenticación exitosa con permisos de nivel de administrador, el script se registra en secreto como un dispositivo confiable y la puerta de enlace lo aprueba automáticamente sin que el usuario se lo solicite. Los atacantes obtienen control total sobre el agente de IA, lo que les permite interactuar con él, volcar datos de configuración, enumerar los nodos conectados y leer registros de aplicaciones.
«Cualquier sitio web que visite puede abrir un sitio web en su host local. A diferencia de las solicitudes HTTP normales, los navegadores no bloquean estas conexiones entre orígenes», dijo Oasis Security. «Entonces, cuando navegas por un sitio web, JavaScript que se ejecuta en esa página puede abrir silenciosamente una conexión a la puerta de enlace local de OpenClaw sin que nada sea visible para el usuario».
«Esa falsa confianza tiene consecuencias reales. La puerta de enlace relaja varios mecanismos de seguridad para las conexiones locales, como aprobar silenciosamente el registro de un nuevo dispositivo sin avisar al usuario. Normalmente, cuando se conecta un nuevo dispositivo, el usuario debe confirmar el emparejamiento, que se realiza automáticamente desde el host local».
Tras una divulgación responsable, OpenClaw implementó una solución en 24 horas en la versión 2026.2.25, lanzada el 26 de febrero de 2026. Recomendamos que los usuarios apliquen las últimas actualizaciones lo antes posible, auditen periódicamente el acceso otorgado a los agentes de IA y apliquen controles de gobernanza adecuados para identidades no humanas (también conocidas como agentes).
Este desarrollo se produce en medio de un extenso escrutinio de seguridad del ecosistema OpenClaw. Esto se debe principalmente al hecho de que los agentes de IA tienen acceso a sistemas dispares y la capacidad de realizar tareas a través de herramientas empresariales, lo que genera un radio de explosión significativamente mayor en caso de una violación de seguridad.
El informe de Bitsight y NeuralTrust detalla cómo las instancias de OpenClaw que permanecen conectadas a Internet expanden la superficie de ataque, y cómo cada servicio integrado expande aún más el radio de explosión y puede transformarse en un arma de ataque al incorporar inyecciones rápidas en el contenido procesado por agentes (como correos electrónicos o mensajes de Slack) para realizar acciones maliciosas.
Esta divulgación se produce después de que OpenClaw también parcheara una vulnerabilidad de envenenamiento de registros que permite a un atacante escribir contenido malicioso en archivos de registro a través de una solicitud WebSocket en una instancia de acceso público en el puerto TCP 18789.
Debido a que los agentes leen sus propios registros para solucionar problemas de tareas específicas, los atacantes pueden aprovechar las lagunas de seguridad para incorporar inyecciones de avisos indirectos y provocar consecuencias no deseadas. Este problema se resolvió en la versión 2026.2.13, enviada el 14 de febrero de 2026.
«Si el texto inyectado se interpreta como información operativa significativa en lugar de información no confiable, puede afectar las decisiones, recomendaciones y acciones automatizadas», dijo EyeSecurity. «Por lo tanto, el impacto no es una ‘adquisición instantánea’, sino más bien una manipulación del razonamiento del agente, un impacto en los pasos de solución de problemas, una posible fuga de datos si se induce al agente a revelar el contexto y una explotación indirecta de las integraciones conectadas».
En las últimas semanas, OpenClaw ha recibido múltiples vulnerabilidades (CVE-2026-25593, CVE-2026-24763, CVE-2026-25157, CVE-2026-25475, CVE-2026-26319, CVE-2026-26322, CVE-2026-26329). es de gravedad moderada a alta y puede provocar la ejecución remota de código, inyección de comandos, falsificación de solicitudes del lado del servidor (SSRF), omisión de autenticación y cruce de rutas. Esta vulnerabilidad se aborda en las versiones 2026.1.20, 2026.1.29, 2026.2.1, 2026.2.2 y 2026.2.14 de OpenClaw.
«A medida que los marcos de agentes de IA se vuelven más frecuentes en los entornos empresariales, los análisis de seguridad deben evolucionar para abordar tanto las vulnerabilidades tradicionales como las superficies de ataque específicas de la IA», dijo Endor Labs.
Por otra parte, una nueva investigación ha demostrado que las habilidades maliciosas cargadas en ClawHub, un mercado abierto para descargar habilidades de OpenClaw, se están utilizando como conducto para entregar una nueva variante de Atomic Stealer, un ladrón de información de macOS desarrollado y alquilado por un cibercriminal conocido como Cookie Spider.
«La cadena de infección comienza con el habitual SKILL.md que instala los requisitos previos», dijo Trend Micro. «Si bien esta habilidad parece benigna en la superficie, VirusTotal incluso la clasificó como tal. Luego, OpenClaw visita el sitio web para obtener instrucciones de instalación y continúa con la instalación si LLM determina que se seguirán las instrucciones».
El procedimiento alojado en el sitio web ‘openclawcli.vercel(.)app’ contiene un comando malicioso que descarga y ejecuta una carga útil de ladrón desde un servidor externo (‘91.92.242(.)30’).
Los cazadores de amenazas también señalaron una nueva campaña de distribución de malware en la que se identificó a un actor de amenazas llamado @liuhui1010, dejando un comentario en la página de lista de habilidades legítimas instando a los usuarios a ejecutar explícitamente el comando proporcionado en la aplicación Terminal si la habilidad «no funciona en macOS».
Este comando está diseñado para recuperar Atomic Stealer desde la dirección IP 91.92.242(.)30, que Koi Security y OpenSourceMalware documentaron previamente para distribuir el mismo malware a través de habilidades maliciosas cargadas en ClawHub.
Además, un análisis reciente de 3505 habilidades de ClawHub realizado por la empresa de seguridad de inteligencia artificial Striker reveló más de 71 habilidades maliciosas. Algunos de ellos se hacían pasar por herramientas legítimas de criptomonedas, pero contenían funciones ocultas que redirigían fondos a billeteras controladas por actores de amenazas.
Se cree que otras dos habilidades, bob-p2p-beta y runware, son el resultado de una estafa de criptomonedas de múltiples capas que utiliza una cadena de ataque de agente a agente dirigida al ecosistema de agentes de IA. Se cree que esta habilidad es obra de un actor de amenazas que opera bajo los alias «26medias» en ClawHub y «BobVonNeumann» en Moltbook y X.
«BobVonNeumann se presenta como un agente de IA en Moltbook, una red social diseñada para permitir que los agentes interactúen entre sí», dijeron los investigadores Yash Somalkar y Dan Regalado. «Desde ese punto de vista, el ataque anuncia sus habilidades maliciosas directamente a otros agentes, explotando la confianza que los agentes están diseñados para extenderse entre sí de forma predeterminada. Este es un ataque a la cadena de suministro con una capa de ingeniería social construida encima».
Sin embargo, lo que hace bob-p2p-beta es instruir a otros agentes de IA para que almacenen la clave privada de la billetera Solana en texto claro, compren tokens $BOB sin valor en pump.fun y enruten todos los pagos a través de una infraestructura controlada por el atacante. La segunda habilidad pretende proporcionar una herramienta de generación de imágenes benigna para aumentar la credibilidad del desarrollador.
Dado que ClawHub se está convirtiendo en un nuevo foco para los atacantes, recomendamos que los usuarios auditen las habilidades antes de instalarlas, eviten proporcionar credenciales o claves a menos que sea necesario y supervisen el comportamiento de las habilidades.
Los riesgos de seguridad asociados con los tiempos de ejecución de agentes autohospedados como OpenClaw también llevaron a Microsoft a emitir una advertencia de que si se puede engañar a un agente para que adquiera y ejecute código malicioso a través de una habilidad envenenada o una inyección rápida, las implementaciones desprotegidas podrían abrir la puerta a la fuga y exfiltración de credenciales, la manipulación de la memoria y el compromiso del host.
«Estas características requieren que OpenClaw sea tratado como una ejecución de código no confiable con credenciales persistentes», dijo el equipo de investigación de seguridad de Microsoft Defender. «No es apropiado ejecutarlo en una estación de trabajo personal o corporativa estándar».
«Si una organización decide que necesita evaluar OpenClaw, solo debe implementarse en un entorno completamente aislado, como una máquina virtual dedicada o un sistema físico separado. El tiempo de ejecución debe usar credenciales dedicadas y sin privilegios y acceder solo a datos no confidenciales. Los planes continuos de monitoreo y reconstrucción deben ser parte del modelo operativo».
Source link
