Vulnerabilidades en OpenClaw permiten ataques desde WhatsApp
Publicado el
Introducción
Recientemente, se han descubierto tres vulnerabilidades críticas en el asistente de inteligencia artificial OpenClaw, que han sido corregidas en la versión 2026.6.6. Estas fallas, si son aprovechadas, pueden permitir el robo de credenciales, escalada de privilegios y ejecución arbitraria de código en el host.
Descripción de las vulnerabilidades
Las vulnerabilidades afectan al mecanismo de filtrado del entorno de ejecución del host y son las siguientes:
- GHSA-hjr6-g723-hmfm (CVSS: 8.8): Inyección de comandos del sistema operativo y una lista incompleta de entradas no permitidas que puede permitir ejecutar o persistir acciones más allá de la autorización del llamador. - GHSA-9969-8g9h-rxwm (CVSS: 8.8): Similar a la anterior, esta vulnerabilidad también permite la inyección de comandos, afectando el mecanismo de filtrado del entorno de ejecución del host. - GHSA-575v-8hfq-m3mc (CVSS: 8.4): Vulnerabilidad de traversal de ruta y seguimiento de enlaces que podría permitir que los bind mounts de sandbox evadan las comprobaciones de la lista de denegación del directorio padre.
Impacto de las vulnerabilidades
Chinmohan Nayak, el investigador que descubrió y reportó estos fallos, advirtió que estos errores pueden ser utilizados para ejecutar código en el host a partir de un mensaje externo enviado a través de WhatsApp. A diferencia de las vulnerabilidades de Claw Chain reveladas anteriormente por Cyera, los nuevos errores no requieren que un atacante establezca un acceso previo para extraer datos sensibles o implementar un backdoor persistente.
Nayak explicó que el método `getBlockedReasonForSourcePath()` verifica si la ruta de origen está bajo un camino bloqueado, pero no comprueba lo contrario. Esto permite que rutas como `~/.ssh`, `~/.aws` y `~/.gnupg` sean comprometidas si se monta el directorio padre `/home` o `/var`, lo que facilita el acceso a claves SSH, credenciales de AWS y secretos GPG.
Recomendaciones
Se aconseja a los usuarios de OpenClaw actualizar a la última versión y habilitar el modo sandbox para todas las sesiones no principales. También se recomienda eliminar `exec` de la lista permitida para los agentes expuestos y monitorizar los comandos `git clone` que contengan el protocolo externo `ext::`, que podría ser mal utilizado para ejecutar comandos del sistema.
OpenClaw también sugiere restringir la funcionalidad afectada a operadores de confianza o desactivarla cuando no sea necesaria. Como parte del endurecimiento general, se recomienda mantener las listas de herramientas y canales lo más restringidas posible, evitar compartir un Gateway entre usuarios no confiables y desactivar características afectadas cuando no se requieran.
Conclusión
Es fundamental que los administradores de sistemas y los usuarios de OpenClaw tomen medidas proactivas para mitigar los riesgos asociados con estas vulnerabilidades. La rápida actualización y la implementación de prácticas de seguridad adecuadas pueden ayudar a proteger los sistemas de posibles ataques.