Las cuatro fallas de OpenClaw permiten a los atacantes robar datos, escalar privilegios y colocar una puerta trasera a través del propio entorno de pruebas de un agente.

Los investigadores de ciberseguridad de Cyra han revelado cuatro vulnerabilidades en OpenClaw que, cuando se encadenan, permiten a un atacante robar datos confidenciales, escalar privilegios y establecer un control continuo sobre un host comprometido. Errores, denominados colectivamente "cadena de garra,"Afecta el backend sandbox administrado OpenShell de OpenClaw y su tiempo de ejecución de bucle invertido MCP. Los cuatro están parcheados en la versión 2026.4.22 de OpenClaw.

La cadena de ataque funciona en cuatro etapas. En primer lugar, un complemento malicioso, una inyección rápida o una entrada externa comprometida obtienen la ejecución del código dentro del entorno limitado de OpenShell. En segundo lugar, se utilizan dos vulnerabilidades, CVE-2026-44113 y CVE-2026-44115, para exponer credenciales, privacidad y archivos confidenciales. En tercer lugar, CVE-2026-44118 explota un indicador de propiedad validado incorrectamente para obtener control a nivel de propietario del tiempo de ejecución del agente. El cuarto, CVE-2026-44112, el más grave de los cuatro con una puntuación CVSS de 9,6, se utiliza para instalar puertas traseras, modificar configuraciones y persistir fuera del sandbox.

La falla más interesante desde el punto de vista arquitectónico es CVE-2026-44118, que confía en un indicador controlado por el cliente llamado senderIsOwner sin compararlo con una sesión autenticada de OpenClaw. Cualquier cliente de loopback que no sea propietario puede hacerse pasar por un propietario y obtener control sobre la configuración de la puerta de enlace, la programación cron y la gestión del entorno de ejecución. Según el asesor de OpenClaw, la solución implica la emisión de tokens de propietario y portador separados, donde senderIsOwner ahora solo se deriva de tokens de autenticación en lugar de encabezados falsificados.

Dos condiciones de carrera TOCTOU (tiempo de verificación/tiempo de uso), CVE-2026-44112 y CVE-2026-44113, permiten a los atacantes eludir las restricciones del sandbox y escribir o redirigir archivos fuera de la ruta de montaje prevista. CVE-2026-44115 explota una lista de autorización incompleta al incorporar tokens de extensión de shell dentro de un cuerpo heredoc, lo que permite la ejecución de comandos que de otro modo se bloquearían en tiempo de ejecución.

💜 de tecnología de la UE

Los últimos rumores de la escena tecnológica de la UE, una historia de nuestro sabio fundador Boris y algo de arte de inteligencia artificial dudoso. Es gratis, todas las semanas, en tu bandeja de entrada. Regístrate ahora!

Lo que hace que las cadenas de garras sean particularmente preocupantes es que cada paso parece un comportamiento normal de los agentes ante los controles de seguridad tradicionales. "Al utilizar los propios privilegios del agente como arma, un adversario utiliza al agente como su mano dentro del entorno a través del acceso a datos, la escalada de privilegios y la persistencia."dice Saira. El ataque amplía el radio de la explosión y dificulta significativamente la detección, ya que las acciones maliciosas no se pueden distinguir de las acciones legítimas para las que el agente está diseñado.

Esta no es la primera vez que se viola la seguridad de OpenClaw. En enero, una vulnerabilidad crítica de ejecución remota de código (CVE-2026-25253) permitió a un usuario que visitaba cualquier sitio web conectarse silenciosamente al servidor local de un agente a través de un websocket no válido, encadenando un secuestro entre sitios con la ejecución completa del código. Una auditoría de seguridad de Koi realizada por ClawHub, el mercado de habilidades de OpenClaw, encontró 341 entradas maliciosas de 2.857 habilidades disponibles, diseñadas para robar credenciales, abrir shells inversos y secuestrar agentes para la minería de criptomonedas.

Nvidia abordó algunas de estas preocupaciones de seguridad estructural en marzo con NemoClaw, una capa empresarial que agrega orquestación de espacio aislado, vallas de privacidad y refuerzo de seguridad además de OpenClaw. El producto fue desarrollado en asociación con Cisco, CrowdStrike, Google y Microsoft Security. Pero NemoClaw funciona a nivel de infraestructura, no a nivel de aplicación, y las vulnerabilidades de Claw Chain se encuentran dentro de la propia implementación sandbox de OpenClaw, lo que significa que incluso las implementaciones reforzadas con NemoClaw se habrían visto afectadas antes del parche.

La escala de exposición es significativa. OpenClaw tiene más de 3,2 millones de usuarios, está integrado con suscripciones ChatGPT a través de OpenAI y ha sido adoptado como plataforma empresarial por Nvidia (NemoClaw) y Tencent (ClawPro). Una parte importante de la base instalada ejecuta versiones más antiguas y sin parches, y los atacantes han estado atacando vulnerabilidades conocidas en versiones anteriores a 2026.1.30 desde al menos febrero.

Al investigador de seguridad Vladimir Tokarev se le atribuye el descubrimiento y el informe de los problemas. Se recomienda a los usuarios que actualicen a la versión 2026.4.22 inmediatamente. La lección más amplia es que los agentes de IA tardan en internalizarse en la industria: cuando un agente autónomo tiene acceso a archivos, credenciales, API y recursos de red, comprometer al agente es prácticamente equivalente a comprometer al usuario. La seguridad perimetral tradicional no fue diseñada para un mundo donde la entidad más privilegiada dentro del entorno es el software que ejecuta instrucciones desde una fuente externa.

Es poco probable que la cadena de garras exponga este tipo de última vulnerabilidad. Sin embargo, podría ser uno que obligue a la industria a tratar la seguridad de los agentes de IA con el mismo rigor que aplica a los sistemas operativos y la infraestructura de la nube, en lugar de lanzarse como una ocurrencia tardía a un producto que no fue diseñado para ser tan importante.