Una falla permite que sitios maliciosos secuestren agentes locales de IA.
OpenClaw ha solucionado un problema de seguridad de alta gravedad que, de haberse explotado con éxito, podría haber permitido que un sitio web malicioso se conectara a un agente de inteligencia artificial (IA) que se ejecutaba localmente y tomara el control.
"Nuestra vulnerabilidad reside en el núcleo del sistema: no hay complementos, ni mercado, ni extensiones instaladas por el usuario; solo la puerta de enlace OpenClaw, que funciona exactamente como está documentado", afirmó Oasis Security en un informe publicado esta semana.
La empresa de ciberseguridad ha bautizado la falla como ClawJacked .
El ataque asume el siguiente modelo de amenaza: Un desarrollador tiene OpenClaw instalado y ejecutándose en su portátil, con su puerta de enlace , un servidor WebSocket local, vinculado a localhost y protegido por contraseña. El ataque se activa cuando el desarrollador accede a un sitio web controlado por el atacante mediante ingeniería social u otros medios.
La secuencia de infección sigue entonces los pasos siguientes:
El JavaScript malicioso en la página web abre una conexión WebSocket al host local en el puerto de enlace de OpenClaw.
El script fuerza brutamente la contraseña de la puerta de enlace aprovechando un mecanismo de limitación de velocidad faltante.
Después de una autenticación exitosa con permisos de nivel de administrador, el script se registra sigilosamente como un dispositivo confiable, que es aprobado automáticamente por la puerta de enlace sin ningún aviso al usuario.
El atacante obtiene control total sobre el agente de IA, lo que le permite interactuar con él, volcar datos de configuración, enumerar nodos conectados y leer registros de aplicaciones.
Cualquier sitio web que visites puede abrir una conexión a tu host local. A diferencia de las solicitudes HTTP habituales, el navegador no bloquea estas conexiones de origen cruzado —declaró Oasis Security—. Por lo tanto, mientras navegas por cualquier sitio web, el JavaScript que se ejecuta en esa página puede abrir silenciosamente una conexión a tu puerta de enlace local de OpenClaw. El usuario no ve nada.
Esa confianza indebida tiene consecuencias reales. La puerta de enlace relaja varios mecanismos de seguridad para las conexiones locales, incluyendo la aprobación silenciosa de nuevos registros de dispositivos sin preguntar al usuario. Normalmente, cuando se conecta un nuevo dispositivo, el usuario debe confirmar el emparejamiento. Desde el host local, es automático.
Tras una divulgación responsable, OpenClaw implementó una solución en menos de 24 horas con la versión 2026.2.25, lanzada el 26 de febrero de 2026. Se recomienda a los usuarios que apliquen las últimas actualizaciones lo antes posible, auditen periódicamente el acceso otorgado a los agentes de IA y apliquen controles de gobernanza adecuados para identidades no humanas (también conocidas como agentes).
El desarrollo se produce en medio de un escrutinio de seguridad más amplio del ecosistema OpenClaw, que se debe principalmente al hecho de que los agentes de IA tienen acceso arraigado a sistemas dispares y la autoridad para ejecutar tareas en herramientas empresariales, lo que genera un radio de explosión significativamente mayor en caso de que se vean comprometidos.
Los informes de Bitsight y NeuralTrust han detallado cómo las instancias de OpenClaw que se dejan conectadas a Internet plantean una superficie de ataque ampliada, y cada servicio integrado amplía aún más el radio de explosión y puede transformarse en un arma de ataque al incorporar inyecciones rápidas en el contenido (por ejemplo, un correo electrónico o un mensaje de Slack) procesado por el agente para ejecutar acciones maliciosas.
La revelación se produce cuando OpenClaw también parcheó una vulnerabilidad de envenenamiento de registros que permitía a los atacantes escribir contenido malicioso en archivos de registro a través de solicitudes WebSocket a una instancia de acceso público en el puerto TCP 18789.
Dado que el agente lee sus propios registros para solucionar problemas en ciertas tareas, un actor de amenazas podría aprovechar la vulnerabilidad de seguridad para insertar inyecciones indirectas de mensajes, lo que podría tener consecuencias imprevistas. El problema se solucionó en la versión 2026.2.13 , publicada el 14 de febrero de 2026.
"Si el texto inyectado se interpreta como información operativa significativa en lugar de información no confiable, podría influir en decisiones, sugerencias o acciones automatizadas", declaró Eye Security . "Por lo tanto, el impacto no sería una 'toma de control instantánea', sino más bien: manipulación del razonamiento del agente, influencia en los pasos de resolución de problemas, posible divulgación de datos si se le indica al agente que revele el contexto y mal uso indirecto de las integraciones conectadas".
En las últimas semanas, OpenClaw también ha sido encontrado susceptible a múltiples vulnerabilidades ( CVE-2026-25593 , CVE-2026-24763 , CVE-2026-25157 , CVE-2026-25475 , CVE-2026-26319, CVE-2026-26322, CVE-2026-26329 ), que van de moderada a alta gravedad, que podrían resultar en ejecución remota de código, inyección de comandos, falsificación de solicitud del lado del servidor (SSRF), omisión de autenticación y cruce de ruta. Las vulnerabilidades se han abordado en las versiones de OpenClaw 2026.1.20 , 2026.1.29 , 2026.2.1 , 2026.2.2 y 2026.2.14 .
"A medida que los marcos de agentes de IA se vuelven más frecuentes en los entornos empresariales, el análisis de seguridad debe evolucionar para abordar tanto las vulnerabilidades tradicionales como las superficies de ataque específicas de la IA", afirmó Endor Labs.
En otra parte, una nueva investigación ha demostrado que las habilidades maliciosas cargadas en ClawHub, un mercado abierto para descargar habilidades de OpenClaw, se están utilizando como conductos para distribuir una nueva variante de Atomic Stealer , un ladrón de información de macOS desarrollado y alquilado por un actor de delitos cibernéticos conocido como Cookie Spider .
"La cadena de infección comienza con un SKILL.md normal que instala un prerrequisito", declaró Trend Micro . "A primera vista, la skill parece inofensiva e incluso fue etiquetada como benigna en VirusTotal. OpenClaw accede al sitio web, obtiene las instrucciones de instalación y procede con la instalación si el LLM decide seguirlas".
Las instrucciones alojadas en el sitio web "openclawcli.vercel[.]app" incluyen un comando malicioso para descargar una carga útil de ladrón desde un servidor externo ("91.92.242[.]30") y ejecutarlo.
Los cazadores de amenazas también han detectado una nueva campaña de distribución de malware en la que se ha identificado a un actor de amenazas llamado @liuhui1010, que deja comentarios en páginas de listas de habilidades legítimas e insta a los usuarios a ejecutar explícitamente un comando que proporcionaron en la aplicación Terminal si la habilidad "no funciona en macOS".
El comando está diseñado para recuperar Atomic Stealer de "91.92.242[.]30", una dirección IP previamente documentada por Koi Security y OpenSourceMalware por distribuir el mismo malware a través de habilidades maliciosas cargadas en ClawHub.
Es más, un análisis reciente de 3.505 habilidades de ClawHub realizado por la empresa de seguridad de inteligencia artificial Straiker descubrió no menos de 71 maliciosas, algunas de las cuales se hacían pasar por herramientas de criptomonedas legítimas pero contenían una funcionalidad oculta para redirigir fondos a billeteras controladas por actores de amenazas.
Otras dos habilidades, bob-p2p-beta y runware, se han atribuido a una estafa de criptomonedas multicapa que emplea una cadena de ataque de agente a agente dirigida al ecosistema de agentes de IA. Estas habilidades se han atribuido a un actor de amenazas que opera bajo los alias "26medias" en ClawHub y "BobVonNeumann" en Moltbook y X.
"BobVonNeumann se presenta como un agente de IA en Moltbook, una red social diseñada para que los agentes interactúen entre sí", explicaron los investigadores Yash Somalkar y Dan Regalado. "Desde esa posición, promueve sus propias habilidades maliciosas directamente a otros agentes, explotando la confianza que los agentes están diseñados para brindarse entre sí por defecto. Es un ataque a la cadena de suministro con una capa de ingeniería social incorporada".
Lo que hace bob-p2p-beta, sin embargo, es ordenar a otros agentes de IA que almacenen las claves privadas de la billetera Solana en texto plano, compren tokens $BOB sin valor en pump.fun y dirijan todos los pagos a través de una infraestructura controlada por el atacante. La segunda habilidad afirma ofrecer una herramienta de generación de imágenes benigna para fortalecer la credibilidad del desarrollador.
Dado que ClawHub se está convirtiendo en un nuevo terreno fértil para los atacantes, se recomienda a los usuarios auditar las habilidades antes de instalarlas, evitar proporcionar credenciales y claves a menos que sea esencial y monitorear el comportamiento de las habilidades.
Los riesgos de seguridad asociados con los tiempos de ejecución de agentes auto hospedados como OpenClaw también han llevado a Microsoft a emitir un aviso, advirtiendo que una implementación sin protección podría allanar el camino para la exposición/exfiltración de credenciales, modificación de memoria y compromiso del host si se puede engañar al agente para que recupere y ejecute código malicioso ya sea a través de habilidades envenenadas o inyecciones de indicaciones.
"Debido a estas características, OpenClaw debe considerarse una ejecución de código no confiable con credenciales persistentes", declaró el Equipo de Investigación de Seguridad de Microsoft Defender . "No es adecuado para su ejecución en una estación de trabajo personal o empresarial estándar".
Si una organización decide que OpenClaw debe evaluarse, debe implementarse únicamente en un entorno completamente aislado, como una máquina virtual dedicada o un sistema físico independiente. El entorno de ejecución debe usar credenciales dedicadas y sin privilegios, y acceder únicamente a datos no confidenciales. La supervisión continua y un plan de reconstrucción deben formar parte del modelo operativo.
