A crescente adoção de assistentes de IA executados localmente trouxe benefícios claros em privacidade e controle. No entanto, um incidente recente envolvendo o projeto OpenClaw mostrou que esse modelo também pode introduzir novos vetores de ataque de alto impacto. Nesse cenário, até mesmo um único clique foi suficiente para permitir a execução remota de código.
Além disso, a vulnerabilidade — hoje já corrigida — chamou a atenção da comunidade de segurança porque combinava automação avançada, permissões elevadas e validação inadequada de conexões externas. Como resultado, aplicações que interagem diretamente com o navegador do usuário tornaram-se especialmente expostas.
- Leia também: 341 skills maliciosos no ClawHub roubam dados de usuários do OpenClaw
- Leia também: Microsoft Inicia Fim do NTLM com Plano em Três Etapas para Modernizar Autenticação no Windows
- Leia também: Ex-engenheiro do Google é condenado por espionagem econômica ligada à China
O que tornou a falha tão perigosa
O problema foi registrado como CVE-2026-25253 e recebeu pontuação CVSS 8.8, o que o coloca na categoria de alta severidade. Entretanto, o risco não se limitava ao bug isolado. Na prática, ele estava ligado ao modelo de confiança adotado pelo OpenClaw em seu painel de controle (Control UI).
Esse componente aceitava parâmetros de conexão enviados por URL sem validação adequada. Assim, servidores controlados por terceiros passaram a ser tratados como confiáveis. Consequentemente, um simples clique em um link cuidadosamente preparado podia iniciar uma cadeia completa de comprometimento.
Como o comprometimento era viabilizado
Quando a vítima acessava um link malicioso, o navegador carregava o Control UI do OpenClaw com o parâmetro gatewayUrl apontando para um servidor externo. Nesse contexto, como o sistema não valida corretamente a origem, o OpenClaw tentava automaticamente estabelecer uma conexão WebSocket com esse destino.
Durante esse processo, o sistema transmitia o token de autenticação do usuário, o que permitia ao invasor:
- reutilizar credenciais válidas;
- conectar-se diretamente ao gateway local do OpenClaw;
- assumir permissões administrativas elevadas.
Com esse nível de acesso, o invasor poderia desativar mecanismos de proteção e executar comandos arbitrários no sistema da vítima. Assim, a execução remota de código ocorria sem qualquer interação adicional, além do clique inicial.
Esse método se enquadra em uma variação de Cross-Site WebSocket Hijacking, agravada, principalmente, pela ausência de validação do cabeçalho Origin.
Por que o uso em localhost não impediu o ataque
Um dos pontos mais críticos dessa falha envolve o uso de configurações restritas ao localhost. Embora o serviço escutasse apenas em 127.0.0.1, isso não oferecia proteção real.
O navegador do próprio usuário atuava como intermediário. Dessa forma, páginas externas conseguiam interagir com o serviço local. Esse comportamento reforça uma falsa sensação de segurança comum em aplicações web locais: se o navegador consegue acessar, um atacante também pode explorar.
Impacto potencial de uma exploração bem-sucedida
Após o comprometimento, o ambiente afetado podia sofrer:
- controle total do gateway do OpenClaw;
- alteração de políticas internas de segurança;
- execução de comandos arbitrários no sistema operacional;
- exposição de chaves de API, tokens e outros dados sensíveis;
- uso do host comprometido como base para ataques adicionais.
Esse risco aumentava ainda mais quando o OpenClaw estava integrado a outros serviços ou fluxos automatizados.
Correção disponibilizada e medidas necessárias
Os desenvolvedores corrigiram a vulnerabilidade na versão 2026.1.29 do OpenClaw, lançada em 30 de janeiro de 2026. A atualização passou a exigir validações adicionais e confirmações explícitas antes de estabelecer conexões externas potencialmente perigosas.
Além da atualização imediata, especialistas recomendam:
- realizar a rotação de todos os tokens de autenticação;
- atualizar chaves e credenciais integradas;
- revisar logs de acesso e conexões WebSocket;
- redobrar a cautela ao interagir com links externos enquanto o painel estiver ativo.
Um alerta para o ecossistema de IA open-source
O caso do OpenClaw reforça um ponto essencial: assistentes de IA com alto nível de automação exigem modelos de segurança igualmente robustos. Quando interfaces administrativas ficam acessíveis via navegador, falhas aparentemente simples podem resultar em comprometimentos completos.
Embora a correção já esteja disponível, o episódio deixa um alerta claro. Cabe agora aos usuários atualizar o software, revisar credenciais e fortalecer práticas de segurança. Caso contrário, um único ponto de validação inadequada pode transformar um assistente de IA em um vetor de ataque altamente eficaz.
Fonte: The Hacker News—https://thehackernews.com/2026/02/openclaw-bug-enables-one-click-remote.html
