DR
Quatro falhas encadeadas do OpenClaw, chamadas “Claw Chain”, permitem que os invasores transformem a sandbox do próprio agente em uma arma. O patch foi aplicado.
Pesquisador de segurança cibernética na Cyera Divulgadas quatro vulnerabilidades no OpenClaw. Essas vulnerabilidades, quando encadeadas, podem permitir que um invasor roube dados confidenciais, aumente privilégios e estabeleça controle persistente sobre um host comprometido. Defeitos coletivamente referidos como “”corrente de garra,” afeta o back-end de sandbox gerenciado OpenShell do OpenClaw e o tempo de execução de loopback MCP. Todos os quatro foram corrigidos na versão 2026.4.22 do OpenClaw.
A cadeia de ataque opera em quatro estágios. Primeiro, plug-ins maliciosos, injeção imediata ou entrada externa corrompida obtêm execução de código na sandbox do OpenShell. Em segundo lugar, explora duas vulnerabilidades, CVE-2026-44113 e CVE-2026-44115, para expor credenciais, segredos e ficheiros sensíveis. Terceiro, CVE-2026-44118 é usado para obter controle do tempo de execução do agente em nível de proprietário, explorando um sinalizador de propriedade validado indevidamente. Quarto, CVE-2026-44112, o mais severo dos quatro, com pontuação CVSS de 9,6, é usado para instalar backdoors, modificar configurações e estabelecer persistência fora da sandbox.
Arquitetonicamente, a falha mais interessante é a CVE-2026-44118. Isso ocorre porque o OpenClaw não valida sessões autenticadas e confia em um sinalizador de controle de cliente chamado senderIsOwner. Clientes de loopback não proprietários podem representar o proprietário e obter controle sobre a configuração do gateway, agendamento do cron e gerenciamento do ambiente de execução. De acordo com a recomendação do OpenClaw, a correção inclui a emissão de tokens separados de proprietário e não proprietário, e senderIsOwner agora é derivado apenas do token de autenticação, e não do cabeçalho falsificado.
Duas condições de corrida TOCTOU (Tempo de Inspeção/Tempo de Uso), CVE-2026-44112 e CVE-2026-44113, permitem que invasores contornem as restrições da sandbox e redirecionem gravações ou leituras de arquivos fora da raiz de montagem pretendida. CVE-2026-44115 explora uma lista de permissões incompleta inserindo um token de extensão de shell dentro do corpo do heredoc para permitir a execução de comandos que de outra forma seriam bloqueados em tempo de execução.
💜 da tecnologia da UE
As últimas novidades do cenário tecnológico da UE, a história do sábio fundador Boris e a questionável arte de IA. Receba-o em sua caixa de entrada gratuitamente todas as semanas. Cadastre-se agora!
O que é particularmente preocupante no Claw Chain é que cada etapa parece ser um comportamento normal do agente para os controles de segurança existentes. “Ao transformar os próprios privilégios do agente em uma arma, os invasores usam o agente como uma mão dentro do ambiente para passar pelo acesso a dados, escalonamento de privilégios e persistência.“Este ataque expande o raio de explosão e ao mesmo tempo torna a detecção muito mais difícil, porque as ações maliciosas são indistinguíveis das ações legítimas que o agente foi projetado para realizar”, disse Cyera.
Esta não é a primeira vez que a segurança do OpenClaw é examinada. Em janeiro, uma grave vulnerabilidade de execução remota de código (CVE-2026-25253) poderia ter feito com que qualquer site visitado pelo usuário se conectasse automaticamente ao servidor local do agente por meio de um WebSocket não verificado, levando à execução completa do código por meio de sequestro entre sites. Uma auditoria da Koi Security no ClawHub, mercado de tecnologia do OpenClaw, encontrou 341 entradas maliciosas entre 2.857 tecnologias disponíveis. O ataque foi projetado para roubar credenciais, abrir um shell reverso e sequestrar agentes para mineração de criptomoedas.
A Nvidia abordou alguns desses problemas estruturais de segurança em março passado com o NemoClaw, uma camada corporativa que adiciona orquestração de sandbox, proteções de privacidade e reforço de segurança sobre o OpenClaw. Este produto foi desenvolvido em parceria com Cisco, CrowdStrike, Google e Microsoft Security. No entanto, o NemoClaw opera no nível da infraestrutura e não no nível do aplicativo, e a vulnerabilidade do Claw Chain está dentro da própria implementação de sandbox do OpenClaw. Isso significa que mesmo implantações reforçadas com NemoClaw antes do patch teriam sido afetadas.
A exposição é significativa. OpenClaw tem mais de 3,2 milhões de usuários, está integrado às assinaturas ChatGPT via OpenAI e foi adotado como plataforma empresarial pela Nvidia (NemoClaw) e Tencent (ClawPro). Uma parte significativa da base instalada está executando versões mais antigas e sem correção, e os invasores têm como alvo vulnerabilidades conhecidas em versões anteriores a 2026.1.30 desde pelo menos fevereiro.
O pesquisador de segurança Vladimir Tokarev é responsável por descobrir e relatar esse problema. Os usuários são aconselhados a atualizar para a versão 2026.4.22 imediatamente. A lição mais ampla é que a indústria de agentes de IA tem demorado a internalizar. Se um agente autônomo tiver acesso a arquivos, credenciais, APIs e recursos de rede, comprometer o agente é funcionalmente equivalente a comprometer o usuário. A segurança perimetral tradicional não foi projetada para um mundo onde a entidade mais privilegiada dentro do ambiente é o software que executa comandos de fontes externas.
É improvável que Claw Chain seja a última divulgação de vulnerabilidade desse tipo. Mas pode ser isto que força a indústria a tratar a segurança dos agentes de IA com o mesmo rigor que aplica aos sistemas operativos e à infraestrutura em nuvem, em vez de uma reflexão tardia em produtos que não foram concebidos para serem tão críticos.
