Sites maliciosos podiam abrir conexão WebSocket com o gateway local do OpenClaw, burlar a proteção por senha sem limitação de tentativas e registrar um dispositivo confiável sem confirmação do usuário.
| Componente | Gateway local do OpenClaw, exposto como servidor WebSocket em localhost para controlar agentes de IA. |
| Vetor | JavaScript em site controlado por atacante abre conexão WebSocket para localhost, tenta a senha do gateway sem limitação de taxa para conexões locais e registra um novo dispositivo confiável. |
| Impacto | Após autenticação, o invasor pode assumir controle administrativo do agente, interagir com ele, consultar configuração, enumerar nós conectados e ler logs da aplicação. |
| Prioridade | Atualizar o OpenClaw para a versão 2026.2.25 ou posterior, revisar dispositivos confiáveis e restringir o uso de agentes a ambientes isolados e monitorados. |
| Versões | A correção de ClawJacked foi publicada na versão 2026.2.25 em 26 de fevereiro de 2026; outra falha de envenenamento de logs foi corrigida na versão 2026.2.13 em 14 de fevereiro de 2026. |
| Artefatos | O contexto também registra exploração de habilidades maliciosas em ClawHub, domínio defangado openclawcli.vercel[.]app, IP defangado 91.92.242[.]30 e entrega de Atomic Stealer por comandos operacionais omitidos. |
O OpenClaw corrigiu uma vulnerabilidade de alta severidade conhecida como ClawJacked, localizada no gateway básico do produto e não em plugins, marketplace ou extensões instaladas pelo usuário. O cenário afetado envolve um desenvolvedor com o OpenClaw ativo no laptop, com o gateway local executando como servidor WebSocket em localhost e protegido por senha. A condição crítica é que o navegador permite que JavaScript carregado por qualquer página tente abrir uma conexão WebSocket para serviços locais, sem aplicar a mesma barreira prática esperada por muitos usuários para requisições HTTP entre origens.
A falha combina confiança excessiva em conexões locais, ausência de limitação de tentativas para autenticação em localhost e aprovação automática de pareamento de novos dispositivos quando a origem é local. Se o usuário visitar uma página controlada por atacante, por engenharia social ou outro redirecionamento, o código da página pode tentar se conectar silenciosamente ao gateway, descobrir a senha por tentativa repetida e registrar o navegador como dispositivo confiável sem prompt visível. Depois disso, o agente de IA fica sob controle administrativo do operador remoto da página, com acesso a funções internas do runtime e às integrações conectadas ao agente.
A correção foi disponibilizada em menos de 24 horas na versão 2026.2.25, publicada em 26 de fevereiro de 2026. O risco é maior porque agentes de IA costumam manter credenciais persistentes, acesso a ferramentas corporativas e autorização para executar tarefas em sistemas distintos. Em ambientes de desenvolvimento e avaliação, essa combinação amplia o impacto de uma falha local: o comprometimento do agente pode deixar de ser apenas um problema de interface e passar a afetar configurações, logs, nós integrados e fluxos automatizados ligados ao runtime.
A cadeia começa quando uma página maliciosa é renderizada no navegador do usuário enquanto o OpenClaw está ativo na máquina local. O JavaScript da página tenta abrir um canal WebSocket para o gateway do OpenClaw em localhost. Como o navegador permite esse tipo de conexão para serviços locais, o usuário não recebe uma indicação visual confiável de que uma aplicação web está tentando falar com um componente administrativo em execução na própria máquina.
O gateway exige senha, mas o tratamento especial concedido a conexões locais remove uma parte importante da proteção operacional. A ausência de limitação de taxa para tentativas vindas de localhost permite que a página automatize múltiplas tentativas de autenticação. Quando a senha é acertada, a conexão passa a ter permissões administrativas. Em seguida, o mesmo fluxo registra um novo dispositivo confiável. O comportamento vulnerável aprova automaticamente o pareamento por considerar a origem local confiável, enquanto o tráfego na prática foi iniciado por uma página remota controlada por atacante e executada dentro do navegador da vítima.
Com o dispositivo aceito, o operador pode interagir com o agente, consultar dados de configuração, enumerar nós conectados e ler logs da aplicação. O contexto não confirma exploração ativa em larga escala nem vazamento real de dados, portanto o impacto deve ser tratado como capacidade técnica resultante da falha sob as precondições descritas. O ponto defensivo central é que a fronteira de confiança entre navegador, localhost e runtime de agente não pode ser assumida como segura apenas porque o serviço escuta localmente.
O mesmo conjunto de riscos aparece em outras falhas recentes do ecossistema OpenClaw. Uma vulnerabilidade separada de envenenamento de logs permitia escrever conteúdo malicioso em arquivos de log por requisições WebSocket contra instância publicamente acessível na porta TCP 18789. Como o agente consulta seus próprios logs para solucionar determinadas tarefas, texto inserido nesses registros poderia funcionar como injeção indireta de prompt, influenciando decisões, sugestões, etapas de diagnóstico e uso de integrações. Essa falha foi corrigida na versão 2026.2.13.
A superfície principal é formada por estáções de trabalho de desenvolvedores ou ambientes de avaliação em que o OpenClaw roda localmente com gateway WebSocket ativo, senha configurada e pareamento automático relaxado para conexões locais. O risco depende de o usuário visitar uma página controlada por atacante durante a execução do runtime. A presença de integrações amplia a exposição, porque um agente autorizado pode ter acesso a repositórios, ferramentas internas, mensagens, e-mails, automações ou sistemas de desenvolvimento, dependendo da configuração real do ambiente.
O contexto também mostra uma superfície adjacente em habilidades do ecossistema OpenClaw. Foram descritas habilidades maliciosas em ClawHub, algumas disfarçadas de ferramentas de criptomoedas, com funcionalidade oculta para redirecionar fundos a carteiras controladas por atacantes. Duas habilidades citadas, bob-p2p-beta e runware, foram associadas a uma cadeia de fraude com interação entre agentes. A primeira orientava outros agentes a armazenar chaves privadas de carteiras Solana em texto claro, comprar tokens sem valor econômico legítimo indicado no contexto e rotear pagamentos por infraestrutura do atacante; a segunda se apresentava como ferramenta benigna de geração de imagens para construir credibilidade.
Também há relato de entrega de malware por instruções hospedadas em openclawcli.vercel[.]app, com download de payload a partir de 91.92.242[.]30, além de comentários em páginas legítimas de listagem de habilidades induzindo usuários a rodar um comando no terminal quando uma habilidade supostamente não funcionasse no macOS. O comando operacional foi omitido por segurança, mas o efeito descrito era recuperar Atomic Stealer do mesmo IP defangado. Esses exemplos reforçam que a superfície não se limita ao bug do gateway: habilidades, páginas de documentação, comentários, logs e conteúdo processado pelo agente podem se tornar entradas hostis.
- Instâncias locais do OpenClaw com gateway WebSocket ativo em
localhoste pareamento automático para origem local. - Instâncias expostas à internet, especialmente quando aceitam WebSocket na porta TCP 18789 ou possuem integrações sensíveis.
- Habilidades de ClawHub instaladas sem auditoria, incluindo pacotes que solicitam credenciais, chaves privadas ou instruções externas.
- Estáções de trabalho pessoais ou corporativas usadas para avaliar agentes com credenciais persistentes e dados sensíveis acessíveis ao runtime.
A investigação deve começar pela linha do tempo entre navegação web do usuário e eventos do gateway OpenClaw. Uma sequência suspeita inclui visita a página não confiável, grande volume de tentativas de autenticação no gateway local, autenticação bem-sucedida fora do padrão de uso normal e registro de novo dispositivo sem interação explícita do operador. Como a falha explora a confiança em localhost, logs locais do aplicativo, histórico de pareamento e telemetria de navegador são mais importantes do que alertas tradicionais de borda de rede.
Em endpoint, a defesa deve correlacionar processos de navegador com conexões WebSocket para serviços locais do OpenClaw. O comportamento de interesse não é o conteúdo exato de um payload, mas a relação entre uma página web remota e uma conexão para o gateway administrativo local. Em ambientes corporativos, proxies e EDR podem ajudar a identificar domínios visitados imediatamente antes de novos dispositivos confiáveis surgirem no OpenClaw. A leitura de logs da aplicação também precisa considerar envenenamento: mensagens muito incomuns, texto instrucional, trechos tentando manipular o raciocínio do agente ou conteúdo que se apresenta como orientação operacional dentro de logs devem ser tratados como entrada não confiável.
Para supply chain de habilidades, a telemetria deve cobrir instalação, atualização e execução de skills. Sinais relevantes incluem habilidades que buscam instruções adicionais em sites externos, tentativas de download a partir de infraestrutura não esperada, solicitações para armazenar chaves privadas em texto claro, comentários de terceiros pedindo execução manual de comandos e alterações de destino em fluxos de pagamento. A análise de 3.505 habilidades mencionada no contexto encontrou 71 maliciosas, o que torna auditoria de dependências, cache, lockfiles e histórico de instalação parte do trabalho de resposta.
- Tentativas repetidas de senha contra o gateway local do OpenClaw a partir de sessões de navegador.
- Registro de dispositivo confiável sem confirmação humana documentada ou fora do horário normal de operação.
- Acesso a configuração, enumeração de nós conectados e leitura de logs logo após navegação em site externo.
- Conexões ou tentativas de download relacionadas a
openclawcli.vercel[.]appe91.92.242[.]30, ambos mantidos defangados para análise defensiva. - Logs com conteúdo instrucional incomum, linguagem de manipulação de agente ou dados inseridos por WebSocket em instâncias expostas.
A primeira ação é atualizar o OpenClaw para a versão 2026.2.25 ou posterior em sistemas que executam o gateway local. Ambientes que ainda mantêm versões anteriores devem ser tratados como expostos se o runtime foi usado enquanto o usuário navegava na web. Depois da atualização, a equipe deve revisar dispositivos confiáveis, remover pareamentos não reconhecidos, trocar a senha do gateway quando houver suspeita de tentativa repetida e verificar se houve acesso a configuração, nós conectados ou logs durante a janela de exposição.
Para a falha de envenenamento de logs, a versão mínima citada no contexto é 2026.2.13. Instâncias publicamente acessíveis devem ser retiradas da internet ou isoladas atrás de controles explícitos, porque o modelo de agente amplia o impacto de entradas aparentemente passivas. Logs usados pelo próprio agente para diagnóstico precisam ser tratados como dados não confiáveis. Conteúdo vindo de WebSocket, páginas externas, mensagens, e-mails, Slack ou habilidades instaladas deve ser separado de instruções do sistema e não deve receber autoridade operacional apenas por estar em um arquivo interno.
A postura recomendada para avaliação de OpenClaw é isolamento forte. O runtime não deve operar em uma estáção de trabalho padrão com credenciais pessoais ou corporativas persistentes quando tiver capacidade de recuperar e executar código, ler contexto sensível ou acionar integrações. Em avaliações necessárias, o ambiente deve ser uma máquina virtual dedicada ou sistema físico separado, com credenciais não privilegiadas, dados não sensíveis, monitoramento contínuo e plano de reconstrução. O uso de habilidades deve passar por revisão de origem, permissões solicitadas, comportamento em tempo de execução e dependências externas antes de qualquer integração com contas reais.
- Atualizar para OpenClaw 2026.2.25 ou posterior e confirmar que todos os runtimes locais foram reiniciados com a versão corrigida.
- Revisar e revogar dispositivos confiáveis desconhecidos no OpenClaw, especialmente registros criados durante sessões de navegação suspeitas.
- Aplicar a versão 2026.2.13 ou posterior para a falha de envenenamento de logs e remover instâncias WebSocket expostas diretamente à internet.
- Executar agentes em ambiente isolado, com credenciais dedicadas, não privilegiadas e sem acesso a dados sensíveis por padrão.
- Auditar habilidades antes da instalação, bloquear instruções externas não aprovadas e monitorar comportamentos que envolvam chaves, carteiras, downloads ou redirecionamento de pagamentos.
0 Comentários