Se han identificado varias vulnerabilidades de alta gravedad en OpenClaw (anteriormente conocido como Clawdbot y Moltbot), que podrían permitir la ejecución remota de código (RCE) mediante enlaces maliciosos o la filtración de datos de las organizaciones.
OpenClaw es un asistente personal autónomo de inteligencia artificial (IA) de código abierto que opera localmente en los dispositivos del usuario y se integra con diversas plataformas de mensajería. Aunque su lanzamiento inicial fue en noviembre de 2025, su popularidad ha crecido rápidamente, acumulando más de 150.000 estrellas en su repositorio de GitHub.
### Vulnerabilidad de Un Solo Clic
La vulnerabilidad identificada como CVE-2026-25253 (CVSS: 8.8) ha sido corregida en la versión 2026.1.29, publicada el 30 de enero de 2026. Esta falla permite la exfiltración de tokens, comprometiendo la puerta de enlace. Peter Steinberger, creador y mantenedor de OpenClaw, explicó en un aviso que «la interfaz de control confía en la URL de la puerta de enlace de la cadena de consulta sin validación, conectándose automáticamente al cargar y enviando el token de puerta de enlace almacenado en la carga útil de conexión de WebSocket».
Al hacer clic en un enlace malicioso, el token puede ser enviado a un servidor controlado por un atacante, quien podría conectarse a la puerta de enlace local de la víctima, modificar la configuración y ejecutar acciones privilegiadas, logrando RCE con un solo clic.
Steinberger también destacó que «OpenClaw es una plataforma de agente abierto que se ejecuta en el equipo y utiliza aplicaciones de chat. A diferencia de los asistentes SaaS, donde los datos se almacenan en servidores de terceros, OpenClaw opera donde tú elijas: en un portátil, un laboratorio en casa, o VPS. Tu infraestructura. Tus claves. Tus datos.»
Mav Levin, investigador de seguridad y fundador de DepthFirst, quien descubrió la vulnerabilidad, señaló que puede ser explotada para crear una cadena de exploits RCE con un solo clic, que se activa en milisegundos tras la visita de la víctima a una página maliciosa.
### Vulnerabilidades de Inyección
Por otro lado, el equipo de ZeroLeaks evaluó la aplicación y le otorgó una puntuación de 2/100, indicando que el 91% de los ataques de inyección fueron exitosos [PDF]. Esto implica que quienes usen Clawdbot pueden ver y manipular todo el contenido del sistema, configuraciones internas, archivos de memoria, y cualquier dato introducido en SOUL.md y AGENTS.md, lo que representa un riesgo significativo de inyección.
### Skills Maliciosas en ClawHub
Recientes informes de Koi Security revelaron que una auditoría de 2.857 skills en ClawHub identificó 341 skills maliciosas en diversas campañas, exponiendo a los usuarios a nuevos riesgos en la cadena de suministro.
ClawHub es una plataforma diseñada para ayudar a los usuarios de OpenClaw a buscar e instalar habilidades de terceros y es una extensión del proyecto OpenClaw.
Estas habilidades engañan haciendo uso de prerrequisitos falsos para instalar un malware de macOS conocido como Atomic Stealer (AMOS), agrupado como ClawHavoc. Según Koi, las habilidades maliciosas simulan ser:
– Errores tipográficos de ClawHub (clawhub, clawhub1, clawhubb, clawhubcli, clawwhub, cllawhub).
– Herramientas de criptomonedas como monederos y rastreadores de monederos Solana.
– Bots de Polymarket (polymarket-trader, polymarket-pro, polytrading).
– Utilidades de YouTube (youtube-summarize, youtube-thumbnail-grabber, youtube-video-downloader).
– Actualizadores automáticos (auto-updater-agent, update, updater).
– Herramientas financieras y de redes sociales (yahoo-finance-pro, x-trends-tracker).
– Herramientas de Google Workspace integradas con Gmail, Calendario, Hojas de Cálculo y Drive.
– Rastreadores de gas de Ethereum y buscadores de Bitcoin perdidos.
Para los agentes que manejan flujos de trabajo sensibles o datos privados, estas vulnerabilidades y ataques representan un problema considerable.
Fuente: THN | Koi
Con Información de blog.segu-info.com.ar