Pesquisadores divulgaram quatro vulnerabilidades no OpenClaw que podem ser encadeadas para permitir roubo de dados, escalada de privilégios e persistência em sistemas comprometidos. O conjunto de falhas foi chamado de Claw Chain pela Cyera e afeta componentes do OpenShell, sandbox gerenciado e runtime MCP loopback.

As falhas incluem a CVE-2026-44112, uma condição de corrida TOCTOU no backend sandbox do OpenShell, com pontuação CVSS 9.6/6.3. A vulnerabilidade permite contornar restrições da sandbox e redirecionar gravações para fora da raiz de montagem prevista. Na prática, um invasor poderia alterar configurações, inserir backdoors e manter controle persistente sobre o host comprometido.

A CVE-2026-44113, com CVSS 7.7/6.3, também envolve uma condição de corrida TOCTOU no OpenShell. Nesse caso, a exploração permite ler arquivos fora da raiz de montagem pretendida, abrindo caminho para acesso a arquivos de sistema, credenciais, segredos e artefatos internos.

Outra falha, identificada como CVE-2026-44115, recebeu pontuação CVSS 8.8 e está relacionada a uma lista incompleta de entradas bloqueadas. Segundo a análise, invasores poderiam burlar a validação por allowlist ao incorporar tokens de expansão de shell no corpo de um here document, conhecido como heredoc, possibilitando a execução de comandos não aprovados em tempo de execução.

A quarta vulnerabilidade, CVE-2026-44118, com CVSS 7.8, decorre de controle de acesso inadequado. A falha poderia permitir que clientes loopback que não são proprietários se passassem por donos do ambiente, elevando privilégios e assumindo controle sobre configurações de gateway, agendamento cron e gerenciamento do ambiente de execução.

A cadeia de exploração descrita pela Cyera começa com um plugin malicioso, uma injeção de prompt ou uma entrada externa comprometida obtendo execução de código dentro da sandbox do OpenShell. Em seguida, o invasor poderia explorar as CVEs 2026-44113 e 2026-44115 para expor credenciais, segredos e arquivos sensíveis. Depois, a CVE-2026-44118 permitiria obter controle em nível de proprietário sobre o runtime do agente. Por fim, a CVE-2026-44112 poderia ser usada para implantar backdoors, alterar configurações e estabelecer persistência.

De acordo com a Cyera, a causa raiz da CVE-2026-44118 está no fato de o OpenClaw confiar em um sinalizador de propriedade controlado pelo cliente, chamado senderIsOwner. Esse campo indicava se o chamador estava autorizado a usar ferramentas restritas ao proprietário, mas sem validação adequada contra a sessão autenticada.

Em seu comunicado de correção, o OpenClaw informou que o runtime MCP loopback passou a emitir tokens bearer separados para proprietários e não proprietários. A definição de senderIsOwner agora é derivada exclusivamente do token usado na autenticação da requisição. O cabeçalho falsificável deixou de ser emitido ou considerado confiável.

As quatro vulnerabilidades foram corrigidas no OpenClaw 2026.4.22 após divulgação responsável. O pesquisador Vladimir Tokarev foi creditado pela descoberta e pelo reporte das falhas. A recomendação para usuários é atualizar para a versão mais recente para reduzir o risco de exploração.

Para a Cyera, o risco central está no uso dos próprios privilégios do agente contra o ambiente. Ao transformar o agente em uma ferramenta operacional dentro da infraestrutura, um invasor pode avançar por etapas de acesso a dados, escalada de privilégios e persistência com ações que podem parecer comportamento legítimo para controles tradicionais, ampliando o impacto potencial e dificultando a detecção.