Vulnerabilidad 'ClawJacked' permite a sitios maliciosos secuestrar agentes OpenClaw AI locales

Oasis Security ha descubierto una vulnerabilidad de alta gravedad en OpenClaw, denominada 'ClawJacked', que permite a sitios web maliciosos tomar el control de agentes de inteligencia artificial (IA) que se ejecutan localmente.

Detalles de la vulnerabilidad

La vulnerabilidad reside en el sistema central de OpenClaw, afectando a la puerta de enlace (gateway) sin necesidad de plugins o extensiones instaladas por el usuario. El ataque se basa en el siguiente escenario:

• Un desarrollador tiene OpenClaw configurado y en ejecución en su portátil, con su gateway (un servidor WebSocket local) en localhost y protegido por una contraseña.
• El desarrollador visita un sitio web controlado por un atacante a través de ingeniería social u otros medios.

El ataque se desarrolla de la siguiente manera:

• JavaScript malicioso en la página web abre una conexión WebSocket a localhost en el puerto del gateway de OpenClaw.
• El script fuerza la contraseña del gateway al no existir un mecanismo de limitación de velocidad (rate-limiting).
• Tras una autenticación exitosa con permisos de administrador, el script se registra sigilosamente como un dispositivo de confianza, que es aprobado automáticamente por el gateway sin solicitar confirmación al usuario.
• El atacante obtiene control total sobre el agente de IA, permitiéndole interactuar con él, extraer datos de configuración, enumerar nodos conectados y leer los registros de la aplicación.

Implicaciones de la vulnerabilidad

Según Oasis Security, cualquier sitio web visitado puede abrir una conexión a localhost, y a diferencia de las peticiones HTTP regulares, el navegador no bloquea estas conexiones cross-origin. Esto permite que un script JavaScript en una página web abra una conexión al gateway local de OpenClaw de forma silenciosa.

La confianza excesiva en las conexiones locales permite que el gateway relaje mecanismos de seguridad, aprobando automáticamente el registro de nuevos dispositivos sin requerir la confirmación del usuario, un proceso que normalmente exige interacción del usuario.

Mitigación

OpenClaw lanzó la versión 2026.2.25 el 26 de febrero de 2026, corrigiendo la vulnerabilidad en menos de 24 horas tras su divulgación responsable. Se recomienda a los usuarios aplicar las últimas actualizaciones lo antes posible, auditar periódicamente el acceso concedido a los agentes de IA y aplicar controles de gobernanza adecuados para identidades no humanas (agénticas).

Contexto

Esta vulnerabilidad se suma a otras recientes encontradas en OpenClaw, incluyendo una vulnerabilidad de envenenamiento de registros (log poisoning) (CVE-2026 pendiente) y múltiples vulnerabilidades que van desde severidad moderada a alta (CVE-2026-25593, CVE-2026-24763, CVE-2026-25157, CVE-2026-25475, CVE-2026-26319, CVE-2026-26322, CVE-2026-26329) que pueden resultar en ejecución remota de código, inyección de comandos, SSRF, bypass de autenticación y path traversal. Estas vulnerabilidades han sido abordadas en versiones anteriores de OpenClaw. La creciente prevalencia de frameworks de agentes de IA en entornos empresariales exige un análisis de seguridad que aborde tanto vulnerabilidades tradicionales como superficies de ataque específicas de la IA.