Uma falha de segurança de alta gravidade foi identificada no OpenClaw, assistente pessoal de inteligência artificial open source, que pode permitir execução remota de código (RCE) a partir de um simples clique em um link malicioso. A vulnerabilidade foi registrada como CVE-2026-25253, com pontuação CVSS 8.8, e já foi corrigida na versão 2026.1.29, lançada em 30 de janeiro de 2026.

O problema foi descrito como uma falha de exfiltração de token, capaz de resultar na comprometimento completo do gateway do OpenClaw. Segundo o criador e mantenedor do projeto, Peter Steinberger, a interface de controle confia em parâmetros recebidos pela URL sem validação adequada, estabelecendo conexões automáticas via WebSocket e enviando tokens de autenticação armazenados localmente.

Na prática, basta que a vítima clique em um link especialmente criado ou visite um site malicioso para que o token seja enviado a um servidor controlado pelo invasor. Com isso, o atacante consegue se conectar ao gateway local da vítima, alterar configurações críticas como políticas de sandbox e ferramentas e invocar ações privilegiadas, culminando em um ataque de RCE com um único clique.

O OpenClaw é um assistente de IA autônomo que roda localmente nos dispositivos dos usuários e se integra a diversas plataformas de mensagens. Apesar de ter sido lançado em novembro de 2025, o projeto ganhou grande tração nas últimas semanas, ultrapassando 149 mil estrelas no GitHub, impulsionado pela proposta de manter dados, chaves e infraestrutura sob controle do próprio usuário.

A falha foi descoberta por Mav Levin, pesquisador fundador da depthfirst, que explicou que o ataque explora um sequestro de WebSocket entre sites (cross-site WebSocket hijacking). Como o servidor do OpenClaw não valida o cabeçalho de origem (Origin), ele aceita conexões provenientes de qualquer site, contornando inclusive restrições de rede localhost.

Um site malicioso pode executar JavaScript no navegador da vítima, capturar o token de autenticação, estabelecer uma conexão WebSocket com o servidor local do OpenClaw e usar esse token para burlar os mecanismos de autenticação. O impacto é ampliado porque o token possui permissões elevadas, permitindo ao invasor desativar confirmações de segurança, alterar políticas de execução e até escapar do contêiner usado para rodar comandos.

Com isso, o agente passa a executar comandos diretamente no sistema operacional do host, fora do ambiente isolado, possibilitando a execução arbitrária de código. Segundo Levin, os mecanismos de segurança existentes foram projetados para conter abusos do modelo de linguagem, como prompt injection, e não para lidar com esse tipo de ataque arquitetural, o que pode gerar uma falsa sensação de proteção.

Steinberger destacou ainda que a vulnerabilidade pode ser explorada mesmo em instâncias configuradas para escutar apenas em loopback. Nesse cenário, o navegador da própria vítima atua como intermediário do ataque, permitindo que o invasor obtenha acesso em nível de operador à API do gateway e execute comandos diretamente no host.