A cadeia combina fuga do sandbox do OpenShell, execução de comandos não aprovados e controle indevido do runtime local para transformar a permissão do agente em acesso persistente ao ambiente.
| Componente | OpenClaw, incluindo o backend de sandbox gerenciado do OpenShell e o runtime local de loopback MCP. |
| Vetor | Execução inicial dentro do sandbox por plugin malicioso, injeção de prompt ou entrada externa comprometida, seguida de abuso de condições TOCTOU, bypass de allowlist e falsificação de privilégio via senderIsOwner. |
| Impacto | Leitura de arquivos fora da raiz montada, exposição de credenciais e artefatos internos, execução de comandos não aprovados, alteração de configuração, escalonamento para controle de proprietário e persistência no host. |
| Prioridade | Atualizar o OpenClaw para a versão 2026.4.22 e revisar telemetria de sandbox, loopback MCP, agendamentos cron e mudanças recentes de configuração. |
| Versões | As quatro vulnerabilidades foram corrigidas no OpenClaw 2026.4.22. |
| Artefatos | CVE-2026-44112, CVE-2026-44113, CVE-2026-44115, CVE-2026-44118, senderIsOwner, OpenShell, MCP loopback runtime, tokens bearer de proprietário e não proprietário. |
| Mitigação | Aplicar a atualização, invalidar sessões e tokens do runtime quando aplicável, remover confiança em cabeçalhos controlados pelo cliente e auditar acessos a arquivos sensíveis fora da raiz de montagem prevista. |
Quatro vulnerabilidades no OpenClaw formam uma cadeia de exploração capaz de converter uma execução inicial restrita em leitura de dados, execução de comandos, escalonamento de privilégio e persistência no host. O ponto inicial descrito envolve código já em execução dentro do sandbox do OpenShell, o que pode ocorrer por um plugin malicioso, por uma injeção de prompt que force ações do agente ou por uma entrada externa comprometida que chegue ao fluxo de automação. A partir dessa posição, o invasor não precisa necessariamente romper o ambiente de uma só vez; ele pode encadear falhas de isolamento, validação e autorização para ampliar gradualmente o alcance do agente.
A superfície mais crítica está na combinação entre o sandbox gerenciado do OpenShell e o runtime local de loopback MCP. CVE-2026-44113 permite leitura de arquivos fora da raiz montada esperada, enquanto CVE-2026-44112 permite redirecionar gravações para fora desse limite. CVE-2026-44115 acrescenta a possibilidade de executar comandos não aprovados por meio de tokens de expansão de shell inseridos no corpo de um here document. CVE-2026-44118 fecha a cadeia ao permitir que clientes locais sem privilégio de proprietário se passem por proprietário quando o runtime confia no sinal senderIsOwner fornecido pelo lado cliente, em vez de derivar essa condição da sessão autenticada.
O impacto prático é mais severo do que uma falha isolada de sandbox porque o agente tende a ter permissões legítimas para consultar dados, executar ferramentas, alterar configurações e interagir com componentes locais. Quando essas permissões são abusadas, várias ações maliciosas podem parecer atividade normal do próprio agente para controles que enxergam apenas o processo autorizado. Isso aumenta a dificuldade de distinguir uma tarefa legítima de uma sequência de exploração, principalmente em ambientes onde agentes com acesso a arquivos, segredos, pipelines, repositórios ou ferramentas administrativas são usados em fluxos de engenharia e operação.
A etapa inicial depende de alguma forma de execução dentro do sandbox do OpenShell. Esse estágio não é descrito como exploração remota direta do OpenClaw a partir da internet; a condição relevante é o adversário conseguir influenciar o agente, um plugin ou uma entrada consumida pelo ambiente até obter execução dentro do limite controlado. Com essa posição, CVE-2026-44113 pode ser usada para contornar a separação do sandbox e ler caminhos fora da raiz de montagem pretendida. Em um ambiente real, esse tipo de leitura tende a mirar arquivos de configuração, credenciais locais, tokens, artefatos internos e dados produzidos por ferramentas de desenvolvimento ou automação.
CVE-2026-44115 amplia o fluxo porque a validação de comandos permitidos pode ser burlada com tokens de expansão de shell embutidos no corpo de um heredoc. A falha não exige inventar um novo binário ou um payload específico; o problema está na lista incompleta de entradas bloqueadas e na diferença entre o que a validação aceita antes da execução e o que o shell expande em tempo de execução. Na prática, comandos que não deveriam passar pela allowlist podem ser materializados depois da validação, criando uma ponte entre uma ação aparentemente permitida e uma execução efetiva fora do escopo autorizado.
Depois da coleta e da ampliação de execução, CVE-2026-44118 permite atacar a lógica de autorização do runtime de loopback MCP. A falha decorre da confiança em senderIsOwner, uma marca controlada pelo cliente que indica se o chamador pode acessar ferramentas restritas ao proprietário. Sem validação contra a sessão autenticada, um cliente local sem essa condição pode se apresentar como proprietário e alcançar funções de maior impacto, incluindo configuração do gateway, agendamento cron e gerenciamento do ambiente de execução. A correção altera essa lógica ao separar tokens bearer de proprietário e não proprietário, fazendo o runtime derivar a condição de proprietário a partir do token autenticado.
CVE-2026-44112 completa a cadeia com uma condição de corrida time-of-check/time-of-use no backend de sandbox gerenciado do OpenShell. A falha permite desviar gravações para fora da raiz montada que deveria conter a operação. Quando combinada com privilégio elevado no runtime, essa capacidade pode ser usada para modificar configuração, criar mecanismos de persistência ou posicionar arquivos em locais que sobrevivam ao ciclo normal do sandbox. O risco aumenta quando o host mantém tarefas agendadas, diretórios de configuração reutilizados ou integrações que carregam artefatos locais automaticamente.
A superfície exposta inclui instalações do OpenClaw anteriores à versão 2026.4.22 que usam o OpenShell com sandbox gerenciado e runtime local de loopback MCP. O cenário de risco é mais relevante quando o agente tem acesso a diretórios de projeto, arquivos de configuração, segredos operacionais, ferramentas administrativas, comandos auxiliares ou integrações que executam tarefas em nome do usuário. Mesmo que o sandbox exista para limitar o alcance de uma ação, as falhas de leitura e gravação fora da raiz montada reduzem a confiança nesse isolamento.
Usuários e equipes devem tratar como sensíveis os ambientes em que plugins de terceiros, entradas vindas de sistemas externos, prompts não confiáveis ou conteúdo gerado por usuários possam influenciar ações do agente. A cadeia também importa para estáções de trabalho de engenharia, servidores de automação, ambientes de laboratório, runners internos e hosts que misturam código, segredos e ferramentas com acesso local. O impacto não depende de um único arquivo específico; ele depende do que o agente consegue alcançar e do valor dos artefatos disponíveis no host.
- Instalações do OpenClaw anteriores à versão 2026.4.22 devem ser tratadas como vulneráveis até confirmação de atualização.
- Ambientes com OpenShell e sandbox gerenciado expõem risco de leitura e gravação fora da raiz de montagem esperada.
- Runtimes de loopback MCP que confiavam em
senderIsOwnerficam expostos a impersonação de proprietário por clientes locais não autorizados. - Hosts com credenciais, tokens, artefatos internos, configurações reutilizáveis ou agendamentos cron têm maior impacto em caso de cadeia completa.
A investigação deve começar por eventos do OpenClaw e do OpenShell que indiquem acesso inesperado a arquivos fora da raiz de montagem do sandbox. Como duas falhas envolvem condições TOCTOU, a evidência pode aparecer como divergência entre o caminho validado e o caminho efetivamente acessado no momento da leitura ou gravação. Registros de execução, auditoria de arquivos, trilhas de chamadas do agente e logs do sistema operacional devem ser correlacionados para identificar leituras de credenciais, arquivos de configuração, artefatos de repositório ou diretórios administrativos que não façam parte da tarefa solicitada.
Para CVE-2026-44115, o foco de hunting está em comandos aceitos pela allowlist que contenham heredocs com expansões de shell inesperadas. A diferença entre a entrada textual aprovada e os comandos realmente executados é a principal pista. Operadores devem procurar padrões de expansão dentro de blocos de here document, execução de comandos filhos não previstos, chamadas a utilitários fora do perfil normal do agente e sequências em que uma ação aparentemente permitida resulta em leitura, cópia, alteração ou persistência em locais não associados ao fluxo legítimo.
No runtime MCP, a telemetria deve destacar requisições locais que acionem funcionalidades de proprietário, especialmente quando não houver token bearer compatível com esse privilégio. Eventos relacionados a alteração de gateway, criação ou modificação de agendamentos cron e gerenciamento do ambiente de execução merecem revisão detalhada. Após a atualização, a presença de tokens separados para proprietário e não proprietário fornece uma fronteira de validação melhor definida, mas ambientes que rodaram versões vulneráveis devem revisar histórico recente antes de considerar o risco encerrado.
- Acessos de leitura a arquivos sensíveis fora da raiz de montagem do sandbox do OpenShell.
- Gravações ou renomeações cujo destino final difere do caminho aprovado pela validação inicial.
- Heredocs contendo tokens de expansão de shell em comandos que deveriam estar restritos por allowlist.
- Requisições ao runtime local com uso de
senderIsOwnerou acesso a ferramentas de proprietário por cliente não autorizado. - Criação ou alteração incomum de tarefas cron, configuração de gateway ou parâmetros do ambiente de execução após atividade do agente.
A ação principal é atualizar o OpenClaw para a versão 2026.4.22, que corrige as quatro vulnerabilidades. A atualização deve ser acompanhada de reinicialização controlada dos componentes afetados, validação da versão em execução e revisão de qualquer instância paralela que possa continuar usando binários ou pacotes antigos. Em ambientes com múltiplos hosts, runners ou imagens de desenvolvimento, a verificação precisa cobrir caches, templates de provisionamento e imagens-base, porque um agente recriado a partir de artefato antigo pode recolocar a versão vulnerável em operação.
Depois da atualização, a resposta deve incluir auditoria de segredos e configuração. Se houver indício de exploração ou se o ambiente vulnerável tinha acesso a credenciais, tokens ou arquivos de configuração sensíveis, a rotação desses materiais deve ser considerada conforme o escopo real de exposição. Também é necessário revisar tarefas cron, arquivos gravados recentemente em locais de inicialização, alterações em configuração de gateway e qualquer modificação feita pelo agente durante a janela em que a versão vulnerável estava ativa. O objetivo é remover persistência e confirmar que a correção não apenas impede novas explorações, mas também não deixa efeitos anteriores no host.
Controles adicionais devem reduzir a chance de uma nova cadeia começar por plugins ou entradas não confiáveis. Isso inclui restringir plugins a origens conhecidas, limitar o acesso do agente a diretórios e segredos estritamente necessários, separar ambientes de execução por finalidade e registrar de forma detalhada comandos, caminhos acessados, tokens usados e funções administrativas chamadas pelo runtime. Para o loopback MCP, a condição de proprietário deve ser derivada exclusivamente da autenticação efetiva, nunca de cabeçalhos, flags ou campos enviados pelo cliente. Para o sandbox, validações de caminho devem ser feitas de forma resistente a condições de corrida e confirmadas no momento do uso efetivo do recurso.
- Atualizar todas as instalações do OpenClaw para 2026.4.22 e confirmar a versão carregada pelo processo em execução.
- Invalidar ou substituir tokens e sessões do runtime quando houver suspeita de acesso indevido a funções de proprietário.
- Revisar arquivos de configuração, tarefas cron e alterações de gateway feitas durante a janela de exposição.
- Auditar leituras de credenciais, segredos e artefatos internos a partir do sandbox do OpenShell.
- Restringir plugins, entradas externas e permissões do agente para reduzir o alcance de uma execução inicial comprometida.
0 Comentários