OpenClaw ha solucionado un problema de seguridad de alta gravedad que, si se hubiera explotado con éxito, podría haber permitido que un sitio web malicioso se conectara a un agente de inteligencia artificial (IA) que se ejecuta localmente y tomara el control.
«Nuestra vulnerabilidad reside en el sistema central mismo: sin complementos, sin mercado, sin extensiones instaladas por el usuario, solo la puerta de enlace OpenClaw, que se ejecuta exactamente como está documentado», dijo Oasis Security en un informe publicado esta semana.
La falla ha sido nombrada en código. GarraJacked por la empresa de ciberseguridad.
El ataque asume el siguiente modelo de amenaza: un desarrollador tiene OpenClaw configurado y ejecutándose en su computadora portátil, con su puerta de enlace, un servidor WebSocket local, vinculado a localhost y protegido por una contraseña. El ataque se activa cuando el desarrollador llega a un sitio web controlado por un atacante mediante ingeniería social o algún otro medio.
La secuencia de infección sigue los pasos siguientes:
- JavaScript malicioso en la página web abre una conexión WebSocket al host local en el puerto de puerta de enlace de OpenClaw.
- El script aplica fuerza bruta a la contraseña de la puerta de enlace aprovechando un mecanismo de limitación de velocidad que falta.
- Después de una autenticación exitosa con permisos de nivel de administrador, el script se registra sigilosamente como un dispositivo confiable, que la puerta de enlace aprueba automáticamente sin ningún aviso del usuario.
- El atacante obtiene control total sobre el agente de IA, lo que le permite interactuar con él, volcar datos de configuración, enumerar los nodos conectados y leer registros de aplicaciones.
«Cualquier sitio web que visite puede abrir uno en su host local. A diferencia de las solicitudes HTTP normales, el navegador no bloquea estas conexiones entre orígenes», dijo Oasis Security. «Entonces, mientras navega por cualquier sitio web, JavaScript que se ejecuta en esa página puede abrir silenciosamente una conexión a su puerta de enlace OpenClaw local. El usuario no ve nada».
«Esa confianza fuera de lugar tiene consecuencias reales. La puerta de enlace relaja varios mecanismos de seguridad para las conexiones locales, incluida la aprobación silenciosa de nuevos registros de dispositivos sin avisar al usuario. Normalmente, cuando se conecta un nuevo dispositivo, el usuario debe confirmar el emparejamiento. Desde localhost, es automático».
Tras una divulgación responsable, OpenClaw implementó una solución en menos de 24 horas con la versión 2026.2.25 lanzada el 26 de febrero de 2026. Se recomienda a los usuarios que apliquen las últimas actualizaciones lo antes posible, auditen periódicamente el acceso otorgado a los agentes de IA y apliquen controles de gobernanza adecuados para las identidades no humanas (también conocidas como agentes).
El desarrollo se produce en medio de un escrutinio de seguridad más amplio del ecosistema OpenClaw, principalmente debido al hecho de que los agentes de IA tienen acceso arraigado a sistemas dispares y la autoridad para ejecutar tareas a través de herramientas empresariales, lo que lleva a un radio de explosión significativamente mayor en caso de verse comprometidos.
Los informes de Bitsight y NeuralTrust han detallado cómo las instancias de OpenClaw que se dejan conectadas a Internet representan una superficie de ataque ampliada, con cada servicio integrado ampliando aún más el radio de explosión y se puede transformar en un arma de ataque al incorporar inyecciones rápidas en el contenido (por ejemplo, un correo electrónico o un mensaje de Slack) procesado por el agente para ejecutar acciones maliciosas.
La divulgación se produce cuando OpenClaw también parchó una vulnerabilidad de envenenamiento de registros que permitía a los atacantes escribir contenido malicioso para registrar archivos a través de solicitudes WebSocket en una instancia de acceso público en el puerto TCP 18789.
Dado que el agente lee sus propios registros para solucionar ciertas tareas, un actor de amenazas podría abusar de la laguna de seguridad para incorporar inyecciones indirectas, lo que tendría consecuencias no deseadas. El problema se solucionó en la versión 2026.2.13, que se envió el 14 de febrero de 2026.
«Si el texto inyectado se interpreta como información operativa significativa en lugar de una entrada no confiable, podría influir en las decisiones, sugerencias o acciones automatizadas», dijo Eye Security. «Por lo tanto, el impacto no sería una ‘adquisición instantánea’, sino más bien: manipulación del razonamiento del agente, influencia en los pasos de solución de problemas, posible divulgación de datos si el agente es guiado para revelar el contexto y mal uso indirecto de las integraciones conectadas».
En las últimas semanas, OpenClaw también ha resultado susceptible a múltiples vulnerabilidades (CVE-2026-25593, CVE-2026-24763, CVE-2026-25157, CVE-2026-25475, CVE-2026-26319, CVE-2026-26322, CVE-2026-26329), que varían de gravedad moderada a alta, y que podrían dar como resultado la ejecución remota de código, inyección de comandos, falsificación de solicitudes del lado del servidor (SSRF), omisión de autenticación y cruce de rutas. Las vulnerabilidades se abordaron en las versiones de OpenClaw 2026.1.20, 2026.1.29, 2026.2.1, 2026.2.2 y 2026.2.14.
«A medida que los marcos de agentes de IA se vuelven más frecuentes en los entornos empresariales, el análisis de seguridad debe evolucionar para abordar tanto las vulnerabilidades tradicionales como las superficies de ataque específicas de la IA», afirmó Endor Labs.
Por otra parte, una nueva investigación ha demostrado que las habilidades maliciosas cargadas en ClawHub, un mercado abierto para descargar habilidades de OpenClaw, se están utilizando como conductos para entregar una nueva variante de Atomic Stealer, un ladrón de información de macOS desarrollado y alquilado por un actor de delitos cibernéticos conocido como Cookie Spider.
«La cadena de infección comienza con un SKILL.md normal que instala un requisito previo», dijo Trend Micro. «La habilidad parece inofensiva en la superficie e incluso fue etiquetada como benigna en VirusTotal. Luego, OpenClaw va al sitio web, busca las instrucciones de instalación y continúa con la instalación si el LLM decide seguir las instrucciones».
Las instrucciones alojadas en el sitio web «openclawcli.vercel(.)app» incluyen un comando malicioso para descargar una carga útil de ladrón desde un servidor externo («91.92.242(.)30») y ejecutarla.
Los cazadores de amenazas también han señalado una nueva campaña de entrega de malware en la que se ha identificado a un actor de amenazas con el nombre @liuhui1010, que deja comentarios en páginas legítimas de listas de habilidades, instando a los usuarios a ejecutar explícitamente un comando que proporcionaron en la aplicación Terminal si la habilidad «no funciona en macOS».
El comando está diseñado para recuperar Atomic Stealer de «91.92.242(.)30», una dirección IP previamente documentada por Koi Security y OpenSourceMalware para distribuir el mismo malware a través de habilidades maliciosas cargadas en ClawHub.
Es más, un análisis reciente de 3.505 habilidades de ClawHub realizado por la empresa de seguridad de inteligencia artificial Straiker ha descubierto no menos de 71 habilidades maliciosas, algunas de las cuales se hacían pasar por herramientas de criptomonedas legítimas pero contenían funciones ocultas para redirigir fondos a billeteras controladas por actores de amenazas.
Otras dos habilidades, bob-p2p-beta y runware, se han atribuido a una estafa de criptomonedas de múltiples capas que emplea una cadena de ataque de agente a agente dirigida al ecosistema de agentes de IA. Las habilidades se han atribuido a un actor de amenazas que opera bajo los alias «26medias» en ClawHub y «BobVonNeumann» en Moltbook y X.
«BobVonNeumann se presenta como un agente de IA en Moltbook, una red social diseñada para que los agentes interactúen entre sí», dijeron los investigadores Yash Somalkar y Dan Regalado. «Desde esa posición, promueve sus propias habilidades maliciosas directamente a otros agentes, explotando la confianza que los agentes están diseñados para extenderse entre sí de forma predeterminada. Es un ataque a la cadena de suministro con una capa de ingeniería social construida encima».
Sin embargo, lo que hace bob-p2p-beta es instruir a otros agentes de inteligencia artificial para que almacenen las claves privadas de la billetera Solana en texto sin formato, compren tokens $BOB sin valor en pump.fun y enruten todos los pagos a través de una infraestructura controlada por el atacante. La segunda habilidad pretende ofrecer una herramienta de generación de imágenes benigna para generar credibilidad del desarrollador.
Dado que ClawHub se está convirtiendo en un nuevo terreno fértil para los atacantes, se recomienda a los usuarios auditar las habilidades antes de instalarlas, evitar proporcionar credenciales y claves a menos que sea esencial y monitorear el comportamiento de las habilidades.
Los riesgos de seguridad asociados con los tiempos de ejecución de agentes autohospedados como OpenClaw también han llevado a Microsoft a emitir un aviso, advirtiendo que la implementación sin vigilancia podría allanar el camino para la exposición/exfiltración de credenciales, modificación de la memoria y compromiso del host si se puede engañar al agente para que recupere y ejecute código malicioso, ya sea a través de habilidades envenenadas o inyecciones rápidas.
«Debido a estas características, OpenClaw debe tratarse como una ejecución de código no confiable con credenciales persistentes», dijo el equipo de investigación de seguridad de Microsoft Defender. «No es apropiado ejecutarlo en una estación de trabajo personal o empresarial estándar».
«Si una organización determina que OpenClaw debe ser evaluado, debe implementarse solo en un entorno completamente aislado, como una máquina virtual dedicada o un sistema físico separado. El tiempo de ejecución debe usar credenciales dedicadas y sin privilegios y acceder solo a datos no confidenciales. El monitoreo continuo y un plan de reconstrucción deben ser parte del modelo operativo».