OpenClaw ha corregido una vulnerabilidad de alta gravedad que, de ser explotada con éxito, podría haber permitido a un sitio web malicioso conectarse a un agente de inteligencia artificial (IA) en ejecución localmente y tomar el control.
“Nuestra vulnerabilidad reside en el sistema central en sí, sin plugins, mercado o extensiones instaladas por el usuario, simplemente la puerta de enlace OpenClaw básica, funcionando exactamente como se documenta”, afirmó Oasis Security en un informe publicado esta semana.
La empresa de ciberseguridad ha denominado ClawJacked a esta vulnerabilidad.
El ataque se basa en el siguiente modelo de amenaza: un desarrollador tiene OpenClaw configurado y en funcionamiento en su computadora portátil, con su puerta de enlace, un servidor WebSocket local, vinculado a localhost y protegido con una contraseña. El ataque se activa cuando el desarrollador accede a un sitio web controlado por un atacante a través de ingeniería social u otros medios.
La secuencia de infección sigue entonces los siguientes pasos:
- JavaScript malicioso en la página web abre una conexión WebSocket a localhost en el puerto de la puerta de enlace de OpenClaw.
- El script fuerza la contraseña de la puerta de enlace aprovechando la falta de un mecanismo de limitación de velocidad.
- Tras una autenticación exitosa con permisos de administrador, el script se registra sigilosamente como un dispositivo de confianza, que es aprobado automáticamente por la puerta de enlace sin ninguna solicitud al usuario.
- El atacante obtiene el control total del agente de IA, lo que le permite interactuar con él, volcar datos de configuración, enumerar los nodos conectados y leer los registros de la aplicación.
“Cualquier sitio web que visites puede abrir una conexión a tu localhost. A diferencia de las solicitudes HTTP regulares, el navegador no bloquea estas conexiones de origen cruzado”, explicó Oasis Security. “Por lo tanto, mientras navegas por cualquier sitio web, JavaScript que se ejecute en esa página puede abrir silenciosamente una conexión a la puerta de enlace local de OpenClaw. El usuario no ve nada.”
“Esa confianza mal colocada tiene consecuencias reales. La puerta de enlace relaja varios mecanismos de seguridad para las conexiones locales, incluida la aprobación silenciosa de nuevos registros de dispositivos sin solicitar al usuario. Normalmente, cuando se conecta un nuevo dispositivo, el usuario debe confirmar el emparejamiento. Desde localhost, es automático.”
Tras una divulgación responsable, OpenClaw lanzó una corrección en menos de 24 horas con la versión 2026.2.25 publicada el 26 de febrero de 2026. Se recomienda a los usuarios que apliquen las últimas actualizaciones lo antes posible, que auditen periódicamente el acceso concedido a los agentes de IA y que apliquen controles de gobernanza adecuados para las identidades no humanas (también conocidas como identidades de agente).
Este desarrollo se produce en un contexto de mayor escrutinio de seguridad del ecosistema OpenClaw, principalmente debido al hecho de que los agentes de IA tienen un acceso arraigado a diversos sistemas y la autoridad para ejecutar tareas en herramientas empresariales, lo que lleva a un radio de explosión significativamente mayor en caso de que se vean comprometidos.
Informes de Bitsight y NeuralTrust han detallado cómo las instancias de OpenClaw que permanecen conectadas a Internet plantean una superficie de ataque ampliada, con cada servicio integrado que amplía aún más el radio de explosión y puede transformarse en un arma de ataque mediante la incrustación de inyecciones de prompts en el contenido (por ejemplo, un correo electrónico o un mensaje de Slack) procesado por el agente para ejecutar acciones maliciosas.
La divulgación se produce al mismo tiempo que OpenClaw también ha parcheado una vulnerabilidad de envenenamiento de registros que permitía a los atacantes escribir contenido malicioso en los archivos de registro a través de solicitudes WebSocket a una instancia accesible públicamente en el puerto TCP 18789.
Dado que el agente lee sus propios registros para solucionar ciertos problemas, esta vulnerabilidad de seguridad podría ser abusada por un actor de amenazas para incrustar inyecciones de prompts indirectas, lo que provocaría consecuencias no deseadas. El problema se solucionó en la versión 2026.2.13, que se lanzó el 14 de febrero de 2026.
“Si el texto inyectado se interpreta como información operativa significativa en lugar de una entrada no confiable, podría influir en las decisiones, las sugerencias o las acciones automatizadas”, afirmó Eye Security en un comunicado. “El impacto, por lo tanto, no sería una ‘toma de control instantánea’, sino más bien: manipulación del razonamiento del agente, influencia en los pasos de solución de problemas, posible divulgación de datos si se guía al agente para que revele el contexto y uso indirecto de las integraciones conectadas.”
En las últimas semanas, también se ha descubierto que OpenClaw es susceptible a múltiples vulnerabilidades (CVE-2026-25593, CVE-2026-24763, CVE-2026-25157, CVE-2026-25475, CVE-2026-26319, CVE-2026-26322, CVE-2026-26329), que van de moderadas a altas y podrían resultar en ejecución remota de código, inyección de comandos, falsificación de solicitud del lado del servidor (SSRF), omisión de autenticación y recorrido de rutas. Las vulnerabilidades se han abordado en las versiones de OpenClaw 2026.1.20, 2026.1.29, 2026.2.1, 2026.2.2 y 2026.2.14.
“A medida que los frameworks de agentes de IA se vuelven más frecuentes en los entornos empresariales, el análisis de seguridad debe evolucionar para abordar tanto las vulnerabilidades tradicionales como las superficies de ataque específicas de la IA”, afirmó Endor Labs.
En otras noticias, nuevas investigaciones han demostrado que las habilidades maliciosas cargadas en ClawHub, un mercado abierto para descargar habilidades de OpenClaw, se están utilizando como conductos para entregar una nueva variante de Atomic Stealer, un robador de información de macOS desarrollado y alquilado por un actor criminal conocido como Cookie Spider.
“La cadena de infección comienza con un SKILL.md normal que instala un requisito previo”, explicó Trend Micro en un comunicado. “La habilidad parece inofensiva en la superficie e incluso fue etiquetada como benigna en VirusTotal. OpenClaw luego va al sitio web, recupera las instrucciones de instalación y procede con la instalación si el LLM decide seguir las instrucciones.”
Las instrucciones alojadas en el sitio web “openclawcli.vercel[.]app” incluyen un comando malicioso para descargar un payload de robo desde un servidor externo (“91.92.242[.]30”) y ejecutarlo.
Los cazadores de amenazas también han señalado una nueva campaña de entrega de malware en la que se ha identificado a un actor de amenazas llamado @liuhui1010, dejando comentarios en las páginas de listado de habilidades legítimas, instando a los usuarios a ejecutar explícitamente un comando que proporcionaron en la aplicación Terminal si la habilidad “no funciona en macOS”.
El comando está diseñado para recuperar Atomic Stealer de “91.92.242[.]30”, una dirección IP documentada previamente por Koi Security y OpenSourceMalware para distribuir el mismo malware a través de habilidades maliciosas cargadas en ClawHub.
Además, un análisis reciente de 3.505 habilidades de ClawHub realizado por la empresa de seguridad de IA Straiker ha descubierto no menos de 71 habilidades maliciosas, algunas de las cuales se hacían pasar por herramientas legítimas de criptomonedas pero contenían funcionalidad oculta para redirigir fondos a billeteras controladas por actores de amenazas.
Dos otras habilidades, bob-p2p-beta y runware, se han atribuido a una estafa de criptomonedas de múltiples capas que emplea una cadena de ataque de agente a agente dirigida al ecosistema de agentes de IA. Las habilidades se han atribuido a un actor de amenazas que opera bajo los alias “26medias” en ClawHub y “BobVonNeumann” en Moltbook y X.
“BobVonNeumann se presenta como un agente de IA en Moltbook, una red social diseñada para que los agentes interactúen entre sí”, explicaron los investigadores Yash Somalkar y Dan Regalado. “Desde esa posición, promueve sus propias habilidades maliciosas directamente a otros agentes, explotando la confianza que los agentes están diseñados para extenderse entre sí de forma predeterminada. Es un ataque a la cadena de suministro con una capa de ingeniería social.”
Lo que hace bob-p2p-beta, sin embargo, es instruir a otros agentes de IA para que almacenen las claves privadas de la billetera Solana en texto plano, compren tokens $BOB sin valor en pump.fun y enruten todos los pagos a través de una infraestructura controlada por un atacante. La segunda habilidad afirma ofrecer una herramienta de generación de imágenes benigna para construir la credibilidad del desarrollador.
Dado que ClawHub se está convirtiendo en un nuevo terreno fértil para los atacantes, se recomienda a los usuarios que auditen las habilidades antes de instalarlas, que eviten proporcionar credenciales y claves a menos que sea esencial y que supervisen el comportamiento de las habilidades.
Los riesgos de seguridad asociados con los entornos de ejecución de agentes autoalojados como OpenClaw también han llevado a Microsoft a emitir una advertencia, advirtiendo que una implementación sin protección podría allanar el camino para la exposición/exfiltración de credenciales, la modificación de la memoria y el compromiso del host si el agente puede ser engañado para que recupere y ejecute código malicioso a través de habilidades envenenadas o inyecciones de prompts.
“Debido a estas características, OpenClaw debe tratarse como una ejecución de código no confiable con credenciales persistentes”, afirmó el equipo de investigación de seguridad de Microsoft Defender en un comunicado. “No es apropiado ejecutarlo en una estación de trabajo personal o empresarial estándar.”
“Si una organización determina que OpenClaw debe evaluarse, solo debe implementarse en un entorno completamente aislado, como una máquina virtual dedicada o un sistema físico separado. El entorno de ejecución debe utilizar credenciales dedicadas y no privilegiadas y acceder solo a datos no confidenciales. La supervisión continua y un plan de reconstrucción deben formar parte del modelo operativo.”
