){kind=link}
A empresa de segurança cibernética Cyera divulgou, em abril de 2026, quatro vulnerabilidades encadeáveis na plataforma OpenClaw. Ela se trata de um dos frameworks de agentes de IA autônomos de código aberto mais adotados em ambientes corporativos. As falhas, batizadas coletivamente de Claw Chain, permitem que um atacante use o próprio agente como ferramenta para comprometer o sistema em que ele opera.
Lançado originalmente como Clawdbot no final de 2025, o OpenClaw conecta modelos de linguagem diretamente a sistemas de arquivos, credenciais, aplicativos de SaaS e ambientes de execução. É usado em empresas para automatizar tarefas de TI, atendimento ao cliente e integrações com plataformas como Telegram, Discord e Microsoft Agent 365.
smart_display
Nossos vídeos em destaque
Por operar com acesso amplo a sistemas internos e dados sensíveis, o OpenClaw concentra um volume considerável de informações críticas. A Cyera identificou entre 65 mil e 180 mil instâncias acessíveis publicamente pela internet em maio de 2026, dependendo da ferramenta de varredura utilizada.
As quatro vulnerabilidades e o que cada uma permite
Duas das falhas envolvem uma condição de corrida, conhecida em inglês como time-of-check/time-of-use (TOCTOU), no sandbox OpenShell. Esse tipo de bug ocorre quando um sistema valida um recurso, mas o atacante consegue substituí-lo antes da execução efetiva.
A CVE-2026-44113 afeta operações de leitura, permitindo trocar um caminho de arquivo validado por um link simbólico que aponta para fora do diretório autorizado. Com isso, o atacante acessa arquivos de sistema, credenciais e outros artefatos que o agente não deveria alcançar.
A CVE-2026-44112, com pontuação crítica de 9.6 no CVSS, afeta operações de escrita pelo mesmo mecanismo. A exploração bem-sucedida permite modificar configurações, plantar backdoors e obter controle persistente do sistema hospedeiro.
)
A CVE-2026-44115 explora uma lacuna entre a validação de comandos e a execução no shell. Variáveis de ambiente, incluindo chaves de API, tokens e credenciais, podem ser expandidas dentro de heredocs sem aspas durante a execução, mesmo que o comando tenha passado pela validação como seguro.
A CVE-2026-44118 abusa de uma flag de propriedade controlada pelo cliente chamada senderIsOwner. O OpenClaw confia nessa flag sem verificá-la na sessão autenticada, o que permite que um processo local com um bearer token válido se eleve a privilégios de proprietário e assuma o controle da configuração do gateway, do agendamento de tarefas e do gerenciamento do ambiente de execução.
Como o ataque em cadeia funciona na prática
O atacante começa com uma injeção de prompt, um plugin malicioso ou uma entrada externa comprometida para obter execução de código dentro do sandbox. A partir desse ponto inicial, as demais falhas podem ser exploradas em paralelo. Com as CVE-2026-44113 e CVE-2026-44115, o atacante extrai credenciais, tokens de autenticação, arquivos de configuração e outros dados sensíveis.
A CVE-2026-44118 então eleva os privilégios para o nível de proprietário do agente. Por fim, a CVE-2026-44112 é usada para plantar backdoors e garantir controle persistente sobre o host. A Cyera destaca que cada etapa do ataque imita comportamento legítimo do agente, o que dificulta significativamente a detecção por controles de segurança tradicionais.
“O encadeamento não depende de um único exploit crítico. Ele demonstra como múltiplas fraquezas menores podem ser exploradas em paralelo a partir de um único ponto de entrada para alcançar um comprometimento completo”, afirma a empresa no relatório.
Patches disponíveis desde 23 de abril
As quatro vulnerabilidades foram reportadas aos mantenedores do OpenClaw em 22 de abril de 2026. As correções foram publicadas no dia seguinte, cobrindo os identificadores GHSA-5h3g-6xhh-rg6p, GHSA-wppj-c6mr-83jj, GHSA-r6xh-pqhr-v4xh e GHSA-x3h8-jrgh-p8jx.
A Cyera recomenda atualização imediata, rotação de todas as credenciais acessíveis por processos do OpenClaw e auditoria do escopo de acesso de cada agente em produção. Instâncias expostas diretamente à internet devem ser colocadas atrás de autenticação ou controles de firewall com prioridade.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.