
Pesquisador demonstra como injeção de comandos, lista incompleta de entradas bloqueadas e bypass de denylist em bind mounts do sandbox podem levar a roubo de credenciais, escalação de privilégios e RCE no ambiente hospedeiro
| Componente | OpenClaw, assistente de IA pessoal com mecanismo de filtragem do ambiente de execução no host e sandbox com bind mounts; integração com canais externos como WhatsApp |
| Vetor | Entrada de baixa confiança encaminhada por mensagem externa via WhatsApp, explorando injeção de comandos do sistema operacional, lista incompleta de entradas proibidas no filtro de execução e bypass de verificação de caminhos bloqueados em montagens do sandbox (incluindo abuso potencial de git clone com helper de protocolo externo ext::) |
| Impacto | Execução ou persistência de ações além da autorização pretendida do chamador; leitura de chaves SSH, credenciais AWS e segredos GPG via montagem do diretório pai; acesso ao socket Docker por montagem de /var com potencial de escape completo do sandbox para o host; roubo de credenciais, escalação de privilégios e execução arbitrária de código no host quando a configuração do operador permitir que entrada não confiável alcance o caminho afetado |
| Prioridade | Atualizar imediatamente para OpenClaw 2026.6.6, habilitar sandbox em sessões não principais, remover exec da allowlist de ferramentas de agentes voltados a canais e restringir montagens e recursos afetados a operadores confiáveis |
| Versões | Correções publicadas na versão OpenClaw 2026.6.6; três avisos de segurança divulgados na semana anterior à divulgação pública |
| Artefatos | GHSA-hjr6-g723-hmfm (CVSS 8.8), GHSA-9969-8g9h-rxwm (CVSS 8.8), GHSA-575v-8hfq-m3mc (CVSS 8.4) |
| Mitigação | Endurecimento de allowlists de canais e ferramentas, não compartilhar um único Gateway entre usuários mutuamente não confiáveis, desabilitar funcionalidade afetada quando desnecessária e monitorar comandos git clone com padrão ext:: |
Foram documentadas três falhas de alta severidade no assistente de inteligência artificial pessoal OpenClaw, já corrigidas pelos mantenedores. Quando combinadas em cenários de configuração inadequada, as vulnerabilidades permitem que um atacante dispare execução de código no host a partir de uma mensagem externa enviada por WhatsApp, sem exigir posição prévia no ambiente — diferentemente de uma cadeia anterior conhecida como Claw Chain, divulgada em maio e que pressupunha foothold inicial para extração de dados sensíveis, implantação de backdoor persistente, execução remota arbitrária e escape para o host.
As falhas GHSA-hjr6-g723-hmfm e GHSA-9969-8g9h-rxwm, ambas com pontuação CVSS 8.8, envolvem injeção de comandos do sistema operacional e uma lista incompleta de entradas proibidas no mecanismo de filtragem do ambiente de execução no host. Esse filtro deveria impedir que ações de execução ou persistência ultrapassem a autorização pretendida pelo chamador, mas entradas não cobertas pela denylist permitem contornar a política. A terceira falha, GHSA-575v-8hfq-m3mc (CVSS 8.4), combina path traversal e seguimento de links em montagens bind do sandbox, contornando verificações de diretórios pai na denylist e abrindo caminho para operações que deveriam exigir autorização ou política mais restritiva.
O pesquisador Chinmohan Nayak, creditado pela descoberta e reporte coordenado, descreveu uma cadeia prática em que a superfície de mensageria externa se torna ponto de partida para comprometimento do ambiente hospedeiro. Os mantenedores do OpenClaw ressaltam que o impacto prático depende da configuração do operador e de se entradas de menor confiança conseguem alcançar o caminho vulnerável — mas a demonstração publicada indica que, em arranjos comuns de agentes conectados a canais, o risco é material e não meramente teórico.
Todas as três falhas foram endereçadas na versão 2026.6.6. Equipes que executam instâncias do OpenClaw com agentes expostos a canais de comunicação ou com sandbox parcialmente configurado devem tratar o conjunto como prioridade de patch e de revisão de postura, não apenas como atualização de rotina de um componente de IA auxiliar.
A cadeia de ataque documentada parte de um canal de entrada externo — WhatsApp — e percorre camadas de confiança até o ambiente de execução no host. O assistente OpenClaw expõe agentes e ferramentas que processam conteúdo recebido por integrações de canal; quando o filtro de execução não bloqueia de forma completa entradas maliciosas, o processamento de uma mensagem pode acionar execução de comandos do sistema operacional fora do escopo autorizado para aquela sessão ou operador.
As duas falhas de injeção de comandos (GHSA-hjr6-g723-hmfm e GHSA-9969-8g9h-rxwm) compartilham a mesma classe de defeito: o mecanismo de filtragem do ambiente de execução no host mantém uma lista de entradas proibidas que não cobre todos os vetores relevantes. Um atacante que consiga fazer com que entrada de baixa confiança — por exemplo, texto ou instruções embutidas em mensagem de WhatsApp — alcance o pipeline de execução pode inserir comandos ou parâmetros não previstos na denylist, resultando em execução ou ações de persistência além da autorização do chamador.
Em paralelo, a falha GHSA-575v-8hfq-m3mc explora uma assimetria na função de verificação de caminhos bloqueados. Conforme descrito na análise técnica, getBlockedReasonForSourcePath() verifica se o caminho de origem está sob um caminho bloqueado, mas não verifica o inverso — se um caminho bloqueado está contido sob o caminho de origem. Essa omissão configura um bypass por diretório pai: a denylist de bind mounts impede montagens diretas de diretórios sensíveis como ~/.ssh, ~/.aws e ~/.gnupg, porém permite montar o diretório pai /home ou /var.
Ao montar /home dentro do container do sandbox, um agente comprometido pode ler chaves SSH de todos os usuários, credenciais AWS e segredos GPG que a política pretendia isolar. Ao montar /var, o atacante pode obter acesso ao socket Docker, o que na prática equivale a escape completo do sandbox para o host — transformando um contêiner supostamente restrito em plataforma para controle do sistema subjacente. A combinação com as falhas de injeção amplifica o impacto: execução arbitrária dentro do fluxo do assistente pode preparar ou acionar montagens abusivas sem que o operador tenha concedido explicitamente esse nível de acesso.
A orientação defensiva complementar menciona monitoramento de comandos git clone que empreguem o helper de protocolo externo ext::, vetor que pode ser abusado para disparar comandos arbitrários do sistema quando a allowlist de ferramentas ainda inclui execução em agentes voltados a canais. O fluxo completo, portanto, não depende de exploração remota clássica contra serviços expostos na internet: basta que a instância OpenClaw aceite e processe mensagens de um canal externo com políticas de sandbox e ferramentas insuficientemente restritas.
A superfície primária são instalações do OpenClaw anteriores à versão 2026.6.6 que conectam agentes a canais de mensageria — em especial integrações como WhatsApp — e que permitem que sessões ou agentes voltados a esses canais invoquem ferramentas de execução ou montagem com políticas amplas. Ambientes onde um único Gateway é compartilhado entre operadores mutuamente não confiáveis amplificam o risco de escalada cruzada.
Hosts que executam o OpenClaw com credenciais de desenvolvedor ou operação presentes em ~/.ssh, ~/.aws ou ~/.gnupg, ou com Docker ativo e socket acessível sob /var, ficam especialmente expostos quando o sandbox permite bind mounts sem validação bidirecional de caminhos bloqueados. A exposição não se limita ao processo do assistente: o escape via socket Docker pode comprometer todo o nó hospedeiro.
- OpenClaw em versões anteriores a 2026.6.6 com agentes conectados a WhatsApp ou outros canais externos
- Mecanismo de filtragem do ambiente de execução no host (GHSA-hjr6-g723-hmfm e GHSA-9969-8g9h-rxwm)
- Sandbox com bind mounts e denylist de diretórios sensíveis (GHSA-575v-8hfq-m3mc)
- Diretórios
~/.ssh,~/.aws,~/.gnupge socket Docker sob/varem hosts com montagem abusiva de/homeou/var - Agentes de canal com
execainda presente na allowlist de ferramentas
Equipes de segurança e operações devem correlacionar telemetria de mensageria, logs do OpenClaw e atividade no host para identificar tentativas de abuso antes que credenciais ou o socket Docker sejam acessados. O indicador mais direto em instâncias não corrigidas é o processamento de mensagens externas seguido de invocações de ferramentas de execução ou operações de montagem atípicas em sessões originadas de canais de baixa confiança.
Em ambientes com controle de contêineres, monitore bind mounts que referenciem /home ou /var a partir de workloads associados ao sandbox do OpenClaw, especialmente quando a política documentada deveria bloquear subdiretórios sensíveis individualmente. Em hosts Linux, alertas sobre acesso a chaves em ~/.ssh, arquivos em ~/.aws/credentials ou interação com o socket Docker após atividade do assistente merecem investigação prioritária.
Para o vetor auxiliar via controle de versão, procure em logs de ferramentas e histórico de comandos padrões de git clone que referenciem o helper de protocolo externo ext::, sinal de tentativa de execução indireta de comandos do sistema. Correlacione timestamps de mensagens recebidas no canal integrado com picos de processos filhos, alterações em montagens de namespace ou conexões novas ao socket Docker.
- Mensagens de canal externo seguidas de invocação de ferramenta exec ou montagem fora do perfil da sessão principal
- Bind mounts de
/homeou/varoriginados do sandbox OpenClaw em hosts com denylist de diretórios sensíveis - Leitura de chaves SSH, credenciais AWS ou segredos GPG após atividade do assistente
- Comandos git clone contendo o padrão ext:: em sessões de agentes voltados a canais
- Conexões ao socket Docker imediatamente após processamento de entrada de WhatsApp ou canal similar
A resposta imediata é aplicar a atualização para OpenClaw 2026.6.6, que incorpora correções para as três falhas identificadas. Antes ou durante a janela de patch, os mantenedores recomendam restringir a funcionalidade afetada a operadores confiáveis ou desabilitá-la quando não for necessária — medida que reduz a superfície enquanto a configuração é revisada.
O endurecimento operacional deve tratar agentes expostos a canais como fronteira de confiança zero: habilite o modo sandbox para todas as sessões que não sejam a sessão principal, remova exec da allowlist de ferramentas de agentes voltados a canais e mantenha allowlists de canais e ferramentas o mais estreitas possível. Não compartilhe um único Gateway entre usuários mutuamente não confiáveis, pois a falha de isolamento entre sessões pode converter um abuso local em comprometimento amplo.
Após a atualização, valide que bind mounts respeitam a denylist em ambas as direções — caminho sob bloqueado e bloqueado sob caminho — e que entradas de teste representativas de mensagens externas não conseguem disparar execução fora da política. Documente a configuração aprovada e monitore continuamente os sinais descritos na seção de hunting, especialmente em instâncias que permanecerem integradas a WhatsApp ou outros canais de entrada pública.
- Atualizar para OpenClaw 2026.6.6 ou superior
- Habilitar sandbox em todas as sessões não principais
- Remover exec da allowlist de ferramentas de agentes conectados a canais externos
- Restringir ou desabilitar funcionalidades afetadas até conclusão do patch e revisão de política
- Evitar compartilhamento de Gateway entre operadores não confiáveis
- Monitorar git clone com padrão ext:: e montagens atípicas de /home ou /var
0 Comentários