Falha no OpenClaw: site malicioso sequestra agente de IA sem interação

Pesquisadores da Oasis Security descobriram uma vulnerabilidade crítica no OpenClaw, agente de IA de código aberto que acumulou mais de 100 mil estrelas no GitHub em apenas cinco dias. A falha permitia que qualquer site malicioso tome controle total do agente sem exigir nenhuma ação do desenvolvedor, basta visitar a página.

O OpenClaw roda localmente no computador do usuário e se conecta a aplicativos de mensagens, calendários, ferramentas de desenvolvimento e sistemas de arquivos – agindo de forma autônoma em nome do usuário. É justamente esse acesso amplo que torna a vulnerabilidade tão perigosa.

Como o ataque funciona

O OpenClaw opera por meio de um WebSocket gateway vinculado ao localhost, o endereço local do próprio computador. Dispositivos conectados, como aplicativos mobile ou outras máquinas, se registram nesse gateway e expõem capacidades como execução de comandos no sistema, leitura de arquivos e acesso a contatos. O ataque exige apenas que o desenvolvedor visite um site comprometido no navegador.

A partir daí, a cadeia de exploração é totalmente silenciosa. O site carrega um script JavaScript que abre uma conexão WebSocket direto para o localhost do desenvolvedor, algo que navegadores modernos permitem para endereços de loopback. O script então realiza um ataque de força bruta contra a senha do gateway a centenas de tentativas por segundo.

O problema é que o limitador de tentativas do OpenClaw não conta conexões vindas do localhost. Os desenvolvedores partiram do princípio de que conexões locais são inerentemente seguras, e isentaram o localhost de qualquer tipo de bloqueio ou registro de falhas. O resultado é que o script testa senhas indefinidamente, sem ser travado, sem gerar alertas.

Depois de descobrir a senha, o script se registra como dispositivo confiável. O gateway, por sua vez, aprova automaticamente pareamentos originados do localhost, sem exibir nenhuma confirmação para o usuário.

Com a sessão autenticada, os pesquisadores demonstraram a cadeia de exploração completa de ponta a ponta, interagindo com um agente ativo a partir de uma sessão de navegador independente.

Acesso total em silêncio

Com controle do agente estabelecido, o atacante pode instruí-lo a buscar chaves de API no histórico do Slack, ler mensagens privadas, exfiltrar arquivos de dispositivos conectados e executar comandos arbitrários no terminal. 

Os pesquisadores classificam o cenário como equivalente a um comprometimento completo da estação de trabalho, iniciado a partir de uma aba do navegador, sem nenhuma indicação visível ao desenvolvedor.

Por dentro da falha

A vulnerabilidade não é um bug isolado, é o resultado de três decisões de arquitetura que, combinadas, criam uma superfície de ataque perfeita. O primeiro ponto de falha está na confiança implícita no localhost. O gateway do OpenClaw trata qualquer conexão originada de 127.0.0.1 como se viesse de um processo local e legítimo.

Esse modelo de confiança ignora que o navegador, ao carregar uma página externa, executa JavaScript no contexto da máquina local. Na prática, um site remoto consegue iniciar conexões que o gateway interpreta como internas.

O segundo problema está na ausência de rate limiting para loopback. O mecanismo de proteção contra força bruta do OpenClaw opera com base na origem da requisição, onde conexões externas são monitoradas e bloqueadas após tentativas excessivas, mas conexões vindas do localhost ficam completamente fora desse controle. 

O terceiro vetor é o auto-aprovação de pareamento via localhost. Ao se autenticar, um novo cliente precisa se registrar como dispositivo confiável. O gateway foi configurado para aprovar automaticamente esse registro quando a requisição vem do loopback, sem exibir nenhum prompt de confirmação para o usuário. 

Esse atalho, pensado para facilitar o setup local, elimina a única barreira que restava entre a autenticação e o controle total do agente.

Como se proteger

A equipe do OpenClaw classificou a falha como de alta severidade e lançou o patch em menos de 24 horas, uma resposta expressiva para um projeto mantido por voluntários.

Ainda assim, dada a adoção massiva da ferramenta, organizações devem assumir que existem instâncias desatualizadas espalhadas pelas máquinas de desenvolvedores e tratar a correção com a mesma urgência de qualquer patch crítico. Para se proteger, é possível tomar algumas ações.

• Atualizar imediatamente para a versão OpenClaw 2026.2.25 ou mais recente;
• Fazer inventário de todas as instalações do OpenClaw, inclusive as feitas fora do controle de TI;
• Revogar credenciais e chaves de API desnecessárias concedidas ao agente;
• Tratar instâncias de agentes de IA com o mesmo rigor aplicado a contas de usuários e serviços críticos.

Quer saber mais sobre vulnerabilidades como essa? Siga o TecMundo nas redes sociais e no YouTube. Para receber notícias de tecnologia e segurança, assine nossa newsletter.