Pesquisadores de segurança da Cyera revelaram a descoberta de quatro vulnerabilidades interligadas no OpenClaw, que, quando exploradas em conjunto, formam uma cadeia de ataque poderosa conhecida como "Claw Chain". Essa exploração permite que um invasor obtenha acesso persistente a um sistema, subtraia dados sensíveis e assuma o controle total da máquina comprometida.
As vulnerabilidades identificadas incluem:
- CVE-2026-44112 (CVSS 9.6): Uma falha do tipo Time-of-Check/Time-of-Use (TOCTOU) no OpenShell que permite contornar restrições de sandbox e escrever arquivos fora dos diretórios permitidos. Isso abre portas para a instalação de backdoors e a garantia de presença contínua no sistema.
- CVE-2026-44113 (CVSS 7.7): Outra vulnerabilidade TOCTOU, focada na leitura de arquivos fora do ambiente de sandbox. Com essa falha, um atacante pode acessar arquivos do sistema, credenciais de acesso e outros artefatos internos cruciais.
- CVE-2026-44115 (CVSS 8.8): Um erro no mecanismo de filtragem de comandos que possibilita a injeção de tokens de expansão de shell em
heredoc, permitindo a execução de comandos não autorizados durante o processamento. - CVE-2026-44118 (CVSS 7.8): Uma falha de controle de acesso onde um cliente local pode se passar pelo proprietário do agente, obtendo assim privilégios elevados. Esta é considerada particularmente perigosa, pois o OpenClaw confiava em um flag
senderIsOwnerque não era validado no lado do servidor, podendo ser facilmente falsificado.
A cadeia de ataque completa, conforme detalhada pelos especialistas, funciona da seguinte maneira:
- Um plugin malicioso, prompt injection ou entrada externa comprometida inicia a execução de código dentro do OpenShell.
- As vulnerabilidades CVE-2026-44113 e CVE-2026-44115 são exploradas para roubar segredos, chaves de API e arquivos confidenciais.
- Através da exploração da CVE-2026-44118, o atacante obtém acesso ao runtime do agente com privilégios de proprietário.
- Finalmente, a CVE-2026-44112 é utilizada para instalar backdoors e garantir a persistência no sistema.
Os pesquisadores da Cyera destacam que a natureza dos agentes de IA torna essas ameaças particularmente insidiosas. Um invasor pode efetivamente usar o próprio agente de IA como uma ferramenta para orquestrar ataques dentro da infraestrutura da vítima. Cada etapa da "Claw Chain" pode se disfarçar como atividade normal do agente, dificultando a detecção por ferramentas de segurança tradicionais e aumentando significativamente o escopo do dano potencial.
Os desenvolvedores do OpenClaw já abordaram essas preocupações, lançando a versão 2026.4.22 com correções. A atualização implementa tokens bearer distintos para clientes proprietários e não proprietários, e o status de proprietário agora é determinado exclusivamente por meio de sessões autenticadas, desconsiderando o antigo cabeçalho senderIsOwner. Recomenda-se fortemente que os usuários atualizem suas instalações do OpenClaw o mais rápido possível para mitigar esses riscos.
