Vulnerabilidad de ClawJacked permite el secuestro de agentes AI locales
Publicado el
Vulnerabilidad crítica en OpenClaw
OpenClaw ha resuelto una vulnerabilidad de alta gravedad que, si se explota, podría permitir que un sitio web malicioso se conecte a un agente de inteligencia artificial (IA) que se ejecute localmente y tome control de él. Según un informe de Oasis Security, la vulnerabilidad, apodada ClawJacked, reside en el núcleo del sistema, sin depender de plugins ni extensiones instaladas por el usuario.
Mecanismo de ataque
El escenario de ataque se basa en el siguiente modelo de amenaza: un desarrollador tiene OpenClaw configurado y en funcionamiento en su portátil, con un servidor WebSocket local vinculado a localhost y protegido por una contraseña. El ataque se activa cuando el desarrollador visita un sitio web controlado por el atacante, ya sea a través de ingeniería social u otros métodos.
Una vez en la página maliciosa, un script en JavaScript abre una conexión WebSocket al puerto del gateway de OpenClaw en localhost. Este script intenta forzar la contraseña del gateway aprovechando la falta de un mecanismo de limitación de tasa. Tras una autenticación exitosa con permisos de nivel administrador, el script se registra silenciosamente como un dispositivo de confianza, siendo aprobado automáticamente por el gateway sin que el usuario tenga que confirmarlo. Esto concede al atacante control total sobre el agente de IA, permitiéndole interactuar con él, volcar datos de configuración, enumerar nodos conectados y leer registros de aplicaciones.
Oasis Security advirtió: "Cualquier sitio web que visites puede abrir una conexión a tu localhost. A diferencia de las solicitudes HTTP normales, el navegador no bloquea estas conexiones de origen cruzado. Por lo tanto, mientras navegas en cualquier sitio, el JavaScript que se ejecuta en esa página puede abrir silenciosamente una conexión a tu gateway de OpenClaw. El usuario no ve nada".
Consecuencias de la vulnerabilidad
Este problema de confianza mal ubicada tiene graves consecuencias. El gateway relaja varios mecanismos de seguridad para conexiones locales, incluyendo la aprobación silenciosa de nuevas registraciones de dispositivos sin solicitar confirmación del usuario. Normalmente, cuando un nuevo dispositivo se conecta, el usuario debe confirmar el emparejamiento. Desde localhost, esto se realiza automáticamente.
Tras la divulgación responsable, OpenClaw lanzó una solución en menos de 24 horas, lanzando la versión 2026.2.25 el 26 de febrero de 2026. Se aconseja a los usuarios que apliquen las actualizaciones más recientes lo antes posible, realicen auditorías periódicas de los accesos concedidos a los agentes de IA y refuercen los controles de gobernanza apropiados para las identidades no humanas (es decir, agentic).
Mayor escrutinio de seguridad
Este desarrollo se produce en un contexto de mayor escrutinio de seguridad en el ecosistema de OpenClaw, dado que los agentes de IA tienen acceso arraigado a sistemas diversos y la autoridad para ejecutar tareas a través de herramientas empresariales, aumentando significativamente el radio de impacto en caso de ser comprometidos. Informes de Bitsight y NeuralTrust han detallado cómo las instancias de OpenClaw conectadas a Internet representan una superficie de ataque ampliada, donde cada servicio integrado incrementa el potencial de ataque. Estos pueden convertirse en armas de ataque mediante inyecciones de comandos en contenido (por ejemplo, un correo electrónico o un mensaje de Slack) procesado por el agente.
Otras vulnerabilidades
Además, OpenClaw ha corregido una vulnerabilidad de envenenamiento de registros que permitía a los atacantes escribir contenido malicioso en archivos de registro a través de solicitudes WebSocket a una instancia accesible públicamente en el puerto TCP 18789. Dado que el agente lee sus propios registros para resolver ciertas tareas, esta brecha de seguridad podría ser explotada para insertar inyecciones de comandos indirectas, con consecuencias no deseadas.
El problema fue abordado en la versión 2026.2.13, lanzada el 14 de febrero de 2026. Según Eye Security, "si el texto inyectado es interpretado como información operativa significativa, podría influir en decisiones, sugerencias o acciones automatizadas".
Recomendaciones finales
Con el aumento de la prevalencia de los marcos de agentes de IA en entornos empresariales, el análisis de seguridad debe evolucionar para abordar tanto las vulnerabilidades tradicionales como las superficies de ataque específicas de IA. OpenClaw ha sido identificado como susceptible a múltiples vulnerabilidades (CVE-2026-25593, CVE-2026-24763, CVE-2026-25157, CVE-2026-25475, CVE-2026-26319, CVE-2026-26322, CVE-2026-26329), que podrían resultar en ejecución remota de código, inyección de comandos, suplantación de solicitudes del lado del servidor (SSRF), elusión de autenticación y recorrido de ruta. Estas vulnerabilidades han sido corregidas en las versiones de OpenClaw 2026.1.20, 2026.1.29, 2026.2.1, 2026.2.2 y 2026.2.14.