- Cyera identificou quatro vulnerabilidades encadeáveis no OpenClaw, permitindo que atacantes usem o agente autônomo para roubar credenciais, elevar privilégios e plantar backdoors no sistema hospedeiro.
- O OpenClaw é um framework de IA autônomo que conecta modelos de linguagem a sistemas de arquivos, credenciais e aplicações; entre 65 mil e 180 mil instâncias estavam acessíveis publicamente na internet em maio de 2026.
- As falhas são: CVE-2026-44113 (leitura, via link simbólico fora do diretório autorizado); CVE-2026-44112 (escrita, possibilidade de modificar configurações e manter acesso); CVE-2026-44115 (exploração entre validação de comandos e execução no shell, expandindo variáveis de ambiente); CVE-2026-44118 (flag senderIsOwner, permitindo elevação de privilégios).
- No cenário prático, o atacante inicia com injeção de prompt ou plugin malicioso, extraindo credenciais e dados sensíveis, elevando privilégios e, por fim, plantando backdoors para controle persistente.
- Correções foram disponibilizadas a partir de 23 de abril de 2026; as autoridades recomendam atualizar o OpenClaw, rotacionar credenciais e auditar acessos, além de colocar instâncias expostas atrás de autenticação ou firewall.
O texto revela falhas críticas no framework de IA OpenClaw, divulgadas pela Cyera em abril de 2026. Quatro pontos encadeáveis permitem que um atacante use o próprio agente para roubar credenciais, escalar privilégios e plantar backdoors no sistema hospedeiro. A OpenClaw é amplamente utilizado para automação de TI e integrações com plataformas como SaaS e mensageiros.
A Cyera informou que a plataforma já expõe entre 65 mil e 180 mil instâncias publicamente pela internet, dependendo da ferramenta de varredura, em maio de 2026. O serviço envolve acesso a modelos de linguagem conectados a sistemas de arquivos, credenciais e aplicativos empresariais.
As quatro vulnerabilidades e o que cada uma permite
Duas falhas envolvem TOCTOU no sandbox OpenShell, permitindo substituição de recursos validados. A CVE-2026-44113 facilita leitura de arquivos sensíveis ao apontar para links simbólicos fora do diretório autorizado. A CVE-2026-44112, com CVSS 9.6, permite écrita e alterações de configuração.
A CVE-2026-44115 explora a validação de comandos para expandir variáveis de ambiente, chaves de API, tokens e credenciais durante a execução. A CVE-2026-44118 utiliza a flag senderIsOwner para elevar privilégios sem verificação, tomando controle da configuração do gateway e do ambiente de execução.
Como o ataque ocorre na prática
O invasor inicia com injeção de prompt, plugin malicioso ou entrada comprometida para executar código no sandbox. Em seguida, as CVEs 44113 e 44115 extraem credenciais e artefatos sensíveis. A CVE-44118 eleva privilégios a proprietário, e a 44112 planta backdoors para controle persistente.
Patches e recomendações de segurança
As falhas foram comunicadas aos mantenedores em 22 de abril de 2026 e corrigidas no dia seguinte. As correções abrangem os identificadores GHSA-5h3g-6xhh-rg6p, GHSA-wppj-c6mr-83jj, GHSA-r6xh-pqhr-v4xh e GHSA-x3h8-jrgh-p8jx. A Cyera recomenda atualização, rotação de credenciais e auditoria de acessos dos agentes. Instâncias expostas devem ficar atrás de autenticação ou firewall.
Entre na conversa da comunidade