Falha no OpenClaw permite ataque de RCE com um único clique em link malicioso

Uma falha de segurança de alta gravidade foi identificada no OpenClaw, assistente pessoal de inteligência artificial open source, que pode permitir execução remota de código (RCE) a partir de um simples clique em um link malicioso. A vulnerabilidade foi registrada como CVE-2026-25253, com pontuação CVSS 8.8, e já foi corrigida na versão 2026.1.29, lançada em 30 de janeiro de 2026.

O problema foi descrito como uma falha de exfiltração de token, capaz de resultar na comprometimento completo do gateway do OpenClaw. Segundo o criador e mantenedor do projeto, Peter Steinberger, a interface de controle confia em parâmetros recebidos pela URL sem validação adequada, estabelecendo conexões automáticas via WebSocket e enviando tokens de autenticação armazenados localmente.

Na prática, basta que a vítima clique em um link especialmente criado ou visite um site malicioso para que o token seja enviado a um servidor controlado pelo invasor. Com isso, o atacante consegue se conectar ao gateway local da vítima, alterar configurações críticas como políticas de sandbox e ferramentas e invocar ações privilegiadas, culminando em um ataque de RCE com um único clique.

O OpenClaw é um assistente de IA autônomo que roda localmente nos dispositivos dos usuários e se integra a diversas plataformas de mensagens. Apesar de ter sido lançado em novembro de 2025, o projeto ganhou grande tração nas últimas semanas, ultrapassando 149 mil estrelas no GitHub, impulsionado pela proposta de manter dados, chaves e infraestrutura sob controle do próprio usuário.

A falha foi descoberta por Mav Levin, pesquisador fundador da depthfirst, que explicou que o ataque explora um sequestro de WebSocket entre sites (cross-site WebSocket hijacking). Como o servidor do OpenClaw não valida o cabeçalho de origem (Origin), ele aceita conexões provenientes de qualquer site, contornando inclusive restrições de rede localhost.

Um site malicioso pode executar JavaScript no navegador da vítima, capturar o token de autenticação, estabelecer uma conexão WebSocket com o servidor local do OpenClaw e usar esse token para burlar os mecanismos de autenticação. O impacto é ampliado porque o token possui permissões elevadas, permitindo ao invasor desativar confirmações de segurança, alterar políticas de execução e até escapar do contêiner usado para rodar comandos.

Com isso, o agente passa a executar comandos diretamente no sistema operacional do host, fora do ambiente isolado, possibilitando a execução arbitrária de código. Segundo Levin, os mecanismos de segurança existentes foram projetados para conter abusos do modelo de linguagem, como prompt injection, e não para lidar com esse tipo de ataque arquitetural, o que pode gerar uma falsa sensação de proteção.

Steinberger destacou ainda que a vulnerabilidade pode ser explorada mesmo em instâncias configuradas para escutar apenas em loopback. Nesse cenário, o navegador da própria vítima atua como intermediário do ataque, permitindo que o invasor obtenha acesso em nível de operador à API do gateway e execute comandos diretamente no host.