Se ha revelado una falla de seguridad de alta gravedad en OpenClaw (anteriormente conocido como Clawdbot y Moltbot) que podría permitir la ejecución remota de código (RCE) a través de un enlace malicioso diseñado.
El problema, que se rastrea como CVE-2026-25253 (puntuación CVSS: 8,8), se solucionó en la versión 2026.1.29 lanzada el 30 de enero de 2026. Se describió como una vulnerabilidad de exfiltración de tokens que compromete completamente la puerta de enlace.
«La interfaz de usuario de control confía en gatewayUrl desde la cadena de consulta sin validación y se conecta automáticamente durante la carga, enviando el token de puerta de enlace almacenado en la carga útil de conexión de WebSocket», dijo el creador y mantenedor de OpenClaw, Peter Steinberger, en un aviso.
«Hacer clic en un enlace creado o visitar un sitio malicioso puede enviar el token a un servidor controlado por un atacante. Luego, el atacante puede conectarse a la puerta de enlace local de la víctima, modificar la configuración (zona de pruebas, políticas de herramientas) e invocar acciones privilegiadas, logrando RCE con 1 clic».
OpenClaw es un asistente personal autónomo de inteligencia artificial (IA) de código abierto que se ejecuta localmente en los dispositivos de los usuarios y se integra con una amplia gama de plataformas de mensajería. Aunque se lanzó inicialmente en noviembre de 2025, el proyecto ha ganado rápidamente popularidad en las últimas semanas, con su repositorio de GitHub superando las 149.000 estrellas al momento de escribir este artículo.
«OpenClaw es una plataforma de agente abierta que se ejecuta en su máquina y funciona desde las aplicaciones de chat que ya usa», dijo Steinberger. «A diferencia de los asistentes SaaS donde sus datos residen en los servidores de otra persona, OpenClaw se ejecuta donde usted elija: computadora portátil, laboratorio doméstico o VPS. Su infraestructura. Sus claves. Sus datos».
Mav Levin, investigador de seguridad fundador de Depthfirst a quien se le atribuye el descubrimiento de la deficiencia, dijo que se puede explotar para crear una cadena de explotación RCE con un solo clic que tarda solo milisegundos después de que una víctima visita una única página web maliciosa.
El problema es que hacer clic en el enlace a esa página web es suficiente para desencadenar un ataque de secuestro de WebSocket entre sitios porque el servidor de OpenClaw no valida el encabezado de origen del WebSocket. Esto hace que el servidor acepte solicitudes de cualquier sitio web, evitando efectivamente las restricciones de la red localhost.
Una página web maliciosa puede aprovechar el problema para ejecutar JavaScript del lado del cliente en el navegador de la víctima, lo que puede recuperar un token de autenticación, establecer una conexión WebSocket con el servidor y usar el token robado para evitar la autenticación e iniciar sesión en la instancia OpenClaw de la víctima.
Para empeorar las cosas, al aprovechar los alcances privilegiados operator.admin y operator.approvals del token, el atacante puede usar la API para deshabilitar la confirmación del usuario configurando «exec.approvals.set» en «off» y escapar del contenedor usado para ejecutar herramientas de shell configurando «tools.exec.host» en «gateway».
«Esto obliga al agente a ejecutar comandos directamente en la máquina host, no dentro de un contenedor Docker», dijo Levin. «Finalmente, para lograr la ejecución de comandos arbitrarios, el atacante JavaScript ejecuta una solicitud node.invoke».
Cuando se le preguntó si el uso de la API por parte de OpenClaw para administrar las funciones de seguridad constituye una limitación arquitectónica, Levin dijo a The Hacker News en una respuesta enviada por correo electrónico que «yo diría que el problema es que esas defensas (sandbox y barandillas de seguridad) fueron diseñadas para contener acciones maliciosas de un LLM, como resultado de una inyección rápida, por ejemplo. Y los usuarios podrían pensar que estas defensas protegerían contra esta vulnerabilidad (o limitarían el radio de explosión), pero no es así».
Steinberger señaló en el aviso que «la vulnerabilidad es explotable incluso en instancias configuradas para escuchar solo en bucle invertido, ya que el navegador de la víctima inicia la conexión saliente».
«Afecta cualquier implementación de Moltbot donde un usuario se haya autenticado en la interfaz de usuario de control. El atacante obtiene acceso a nivel de operador a la API de la puerta de enlace, lo que permite cambios de configuración arbitrarios y la ejecución de código en el host de la puerta de enlace. El ataque funciona incluso cuando la puerta de enlace se vincula al bucle invertido porque el navegador de la víctima actúa como puente».