En una investigación separada publicada esta semana, dos equipos de seguridad demostraron que OpenClaw, un popular agente de IA autohospedado, puede ejecutar código controlado por un atacante o pasar datos confidenciales a través de entradas aparentemente ordinarias.
Imperva incorporó instrucciones dentro de contactos compartidos, vCards y pines de ubicación que los agentes ejecutaron sin que la víctima los viera. Varonis creó un agente de prueba en la plataforma, le proporcionó un buzón lleno de datos comerciales sintéticos y lo observó transferir claves AWS falsas y exportar clientes falsos a direcciones externas en un simple correo electrónico.
Los defectos encontrados por Imperva se parchearán en OpenClaw 2026.4.23, así que actualícelo si desea ejecutarlo. Las debilidades de phishing descubiertas por Varonis no se solucionan con parches. Después de todo, los agentes están limitados en lo que pueden hacer por sí mismos.
Diferentes puertas a la misma habitación: el agente confía en lo que llega allí y ese acceso pertenece al atacante.
Comandos ocultos para contactos compartidos
El investigador de Imperva, Yohann Sillam, investigó cómo OpenClaw pasa datos de mensajería a los modelos detrás de él. El problema está en las tuberías.
Cuando un agente pasa un contacto compartido, una vCard o una ubicación a LLM, aplana el objeto en un texto emergente en línea sin un borde que marque el objeto como no confiable. El contenido que el agente recupera de la web está envuelto en marcadores de contenido que no son de confianza. No en el objeto del mensaje.
Sólo algunos campos llegan al modelo y eso es lo que explota el ataque. Los contactos compartidos solo envían el campo de nombre serializado como . Debido a que se pueden usar corchetes angulares dentro de los nombres, el modelo no puede determinar dónde termina el nombre real y comienza la instrucción insertada. Las víctimas tampoco ven la carga útil, ya que los nombres de los contactos se truncan cuando aparecen en la pantalla tanto en WhatsApp como en la aplicación receptora.
El mismo truco funciona con el campo de nombre completo en vCards, que WhatsApp admite de forma nativa, y con etiquetas en pines de ubicación compartidos.
En la prueba de Imperva contra Gemini 3.1 Pro (versión preliminar), el texto oculto indicaba al agente que descargara y ejecutara un script desde un servidor controlado por investigadores. Fue. Fallaron las imágenes simples con instrucciones incrustadas. Probablemente esto se deba a que el ataque se informa con tanta frecuencia que el modelo está entrenado para resistirlo. La ruta del objeto de mensaje funcionó porque hay muchos menos ejemplos de ella en el modelo.
Dado que la memoria de OpenClaw está activada de forma predeterminada, Imperva advierte que si no está protegida, una sola pieza de contenido ampliamente compartido que contenga instrucciones ocultas puede comprometer silenciosamente al agente que la ingiere.
Imperva reveló este problema y OpenClaw envió una solución en la versión 2026.4.23 que mueve los nombres de los contactos, los campos vCard y las etiquetas de ubicación del cuerpo del mensaje a un canal de metadatos separado que no es de confianza. Imperva ha encontrado patrones de aplanamiento similares en otros asistentes personales de IA, por lo que OpenClaw no está solo en el problema subyacente.
Un correo electrónico normal es suficiente
Varonis Threat Labs abordó OpenClaw desde una perspectiva social. En una investigación dirigida por Itay Yashar, el equipo creó un agente llamado Pinchy en la plataforma, lo conectó a una bandeja de entrada de Gmail repleta de pseudosecretos y desorden comercial realista pero artificial, y ejecutó cuatro simulaciones de phishing en Google Gemini 3.1 Pro y OpenAI Codex GPT-5.4.
Trazan una línea entre la inyección rápida, que oculta instrucciones dentro de los datos, y algo llamado phishing de agentes. El phishing de agentes es una solicitud confiable que llega a través de canales normales y funciona porque el agente actúa en consecuencia antes de ver quién la envió.
El agente no pasó ambas pruebas de fuga. En el primero, se envió un mensaje que se hacía pasar por un líder de equipo llamado Dan desde una dirección externa de Gmail solicitando acceso provisional durante un incidente de producción falso. Pinchy encontró las credenciales y transfirió una clave de acceso simulada de AWS IAM, una cadena de conexión a la base de datos y credenciales SSH en texto claro.
La segunda excusa fue más suave, tal vez una solicitud rutinaria de exportaciones semanales de mazos QBR por parte de los clientes. El agente envió un conjunto de datos sintéticos que contenía 247 clientes comerciales, contactos y montos de contratos. Ambas fallas ocurrieron bajo un perfil estricto, que les dice a los agentes que verifiquen primero al remitente. Las reglas existían. La urgencia lo venció una vez, la rutina lo venció por segunda vez.
Los agentes actuaron mejor cuando la amenaza era técnica que social. Interactué con una página de phishing para obtener una tarjeta de regalo, pero mis credenciales reales fueron retenidas y finalmente marcadas. La página ha sido bloqueada permanentemente por Strict Profile. Una pantalla de consentimiento de OAuth maliciosa disfrazada de una aplicación de parte de horas inspeccionó el objetivo de redireccionamiento, lo consideró sospechoso y lo detuvo antes de permitir el acceso.
Ésa es la división que resalta Varonis. Este agente es mejor que la mayoría de las personas para detectar URL fraudulentas y portales de inicio de sesión falsos, pero es peor en el juicio social, como hacer una pausa humana cuando un compañero de trabajo de repente pide credenciales en un momento extraño. La motivación para ser útil es un área objetivo.
Varonis dijo que OpenAI Codex GPT-5.4 fue más cauteloso que Gemini 3.1 Pro a la hora de ingresar o enviar datos a sitios externos sin verificación, pero ambos cayeron en pretextos sociales.
Debilidades detrás de ambos ataques
Varonis relaciona ambos ataques con lo que Simon Willison llama la trifecta mortal: un agente que puede leer datos privados, ingerir contenido que no es de confianza y enviar datos de vuelta. OpenClaw tiene los tres, por lo que los contactos tóxicos y los correos electrónicos amigables terminan en el mismo lugar.
Este límite de confianza no sólo es inmediatamente problemático; Esto también aparece en el código de OpenClaw. En otro análisis de escritura de InfoSec, convertimos las recomendaciones históricas de OpenClaw en reglas de análisis estático y las usamos para descubrir cinco fallas adicionales en las extensiones de canal Slack, Discord, Matrix, Zalo y Microsoft Teams.
Los cinco eran el mismo error. El código de inicio resolvió la lista de permitidos de cada canal con un nombre para mostrar modificable en lugar de una identificación estable, lo que permitió que un atacante que cambiara su nombre para coincidir con un usuario autorizado ingresara a la lista y potencialmente manipulara al agente. OpenClaw los ha parcheado.
OpenClaw viene con amplio acceso a archivos, shells y más de 20 plataformas de mensajería, y ha realizado constantemente inyecciones tempranas y advertencias de fuga de datos desde su lanzamiento a fines del año pasado.
La autoridad holandesa de protección de datos ha adoptado la política más estricta. Autoriteit Persoonsgegevens ha instruido a los usuarios y organizaciones a no ejecutar OpenClaw en sistemas que contengan datos confidenciales debido al riesgo de violaciones de datos y apropiación de cuentas.
que hacer al respecto
Si está ejecutando OpenClaw, debe actualizar a 2026.4.23 o posterior para corregir el objeto del mensaje. El resto es arquitectura, no la redacción del mensaje. Varonis dispone de cuatro controles.
Trate los archivos de instrucciones del agente como políticas versionadas aplicadas en lugar de sugerencias. El correo saliente requiere una puerta. Los agentes secuestrados no pueden transmitir phishing desde cuentas confiables porque no pueden enviar a una dirección desconocida por primera vez sin autorización. La bandeja de entrada que maneja el correo electrónico externo tampoco puede leer todo el CRM porque el acceso al conector requiere rastrear el nivel de confianza de la persona que activó la tarea. Y las acciones más riesgosas, como transferir credenciales o mover fondos, deben esperar a que llegue un ser humano.
Ambos equipos llegan al mismo modelo mental. Varonis describe al agente no como una herramienta de seguridad, sino como algo que debe ser tratado como un empleado junior que tiene acceso al sistema y no tiene instintos sobre lo que podría suceder. Imperva llega desde la otra dirección y lo llama ejecutor autenticado que confía en la entrada.
Las correcciones disponibles actualmente son parches y barreras de seguridad específicos. Aún quedan problemas más difíciles por resolver. Un agente que funciona basándose en el correo electrónico y es lo suficientemente útil para ejecutar comandos es, por diseño, uno que confía en sus comentarios y quiere ayudar, pero nadie tiene una solución general para eso todavía.
Source link
