sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Pirataria é a única opção para preservar games, diz arquivista após fim da mídia física da Sony
2 de julho de 2026
Acidente com ônibus deixa 11 feridos no interior de SP
2 de julho de 2026
Fim da greve: servidores da Unicamp voltam ao trabalho na segunda-feira
2 de julho de 2026
Estrela do atletismo é pódio nos Jogos Parasul-Americanos no ciclismo
2 de julho de 2026
sexta-feira, julho 3, 2026
Top Posts
Pirataria é a única opção para preservar games,...
Acidente com ônibus deixa 11 feridos no interior...
Fim da greve: servidores da Unicamp voltam ao...
Estrela do atletismo é pódio nos Jogos Parasul-Americanos...
Carro elétrico mais barato do Brasil tem vendas...
Queijo artesanal de Campinas conquista medalha de bronze...
Participe da pesquisa Os Eleitos 2026
Kingdom Come: Deliverance II e mais jogos de...
Todos os easter eggs de Star Wars na...
Vacina contra VSR em idosos reduz internações em...
sampanews.com
Banner
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Pirataria é a única opção para preservar games, diz arquivista após fim da mídia física da Sony
2 de julho de 2026
Acidente com ônibus deixa 11 feridos no interior de SP
2 de julho de 2026
Fim da greve: servidores da Unicamp voltam ao trabalho na segunda-feira
2 de julho de 2026
Estrela do atletismo é pódio nos Jogos Parasul-Americanos no ciclismo
2 de julho de 2026
sampanews.com

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Pirataria é a única opção para preservar games, diz arquivista após fim da mídia física da Sony
2 de julho de 2026
Acidente com ônibus deixa 11 feridos no interior de SP
2 de julho de 2026
Fim da greve: servidores da Unicamp voltam ao trabalho na segunda-feira
2 de julho de 2026
Estrela do atletismo é pódio nos Jogos Parasul-Americanos no ciclismo
2 de julho de 2026
sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto
Copyright 2026 - Todos os Direitos Reservados

Falhas críticas no OpenClaw possibilitava roubo de dados e até invsão de PCs

por SampaNews 18 de maio de 2026
18 de maio de 2026
21

A empresa de segurança cibernética Cyera divulgou, em abril de 2026, quatro vulnerabilidades encadeáveis na plataforma OpenClaw. Ela se trata de um dos frameworks de agentes de IA autônomos de código aberto mais adotados em ambientes corporativos. As falhas, batizadas coletivamente de Claw Chain, permitem que um atacante use o próprio agente como ferramenta para comprometer o sistema em que ele opera.

Lançado originalmente como Clawdbot no final de 2025, o OpenClaw conecta modelos de linguagem diretamente a sistemas de arquivos, credenciais, aplicativos de SaaS e ambientes de execução. É usado em empresas para automatizar tarefas de TI, atendimento ao cliente e integrações com plataformas como Telegram, Discord e Microsoft Agent 365.

smart_display

Nossos vídeos em destaque

Por operar com acesso amplo a sistemas internos e dados sensíveis, o OpenClaw concentra um volume considerável de informações críticas. A Cyera identificou entre 65 mil e 180 mil instâncias acessíveis publicamente pela internet em maio de 2026, dependendo da ferramenta de varredura utilizada.

Plataforma acumula entre 65 mil e 180 mil instâncias acessíveis pela internet.

As quatro vulnerabilidades e o que cada uma permite

Duas das falhas envolvem uma condição de corrida, conhecida em inglês como time-of-check/time-of-use (TOCTOU), no sandbox OpenShell. Esse tipo de bug ocorre quando um sistema valida um recurso, mas o atacante consegue substituí-lo antes da execução efetiva.

A CVE-2026-44113 afeta operações de leitura, permitindo trocar um caminho de arquivo validado por um link simbólico que aponta para fora do diretório autorizado. Com isso, o atacante acessa arquivos de sistema, credenciais e outros artefatos que o agente não deveria alcançar.

A CVE-2026-44112, com pontuação crítica de 9.6 no CVSS, afeta operações de escrita pelo mesmo mecanismo. A exploração bem-sucedida permite modificar configurações, plantar backdoors e obter controle persistente do sistema hospedeiro.

ilustracao-de-alerta-de-virus-no-computador
Falhas encadeadas permitem que o próprio agente de IA execute etapas do ataque sem acionar alertas de segurança tradicionais.

A CVE-2026-44115 explora uma lacuna entre a validação de comandos e a execução no shell. Variáveis de ambiente, incluindo chaves de API, tokens e credenciais, podem ser expandidas dentro de heredocs sem aspas durante a execução, mesmo que o comando tenha passado pela validação como seguro.

A CVE-2026-44118 abusa de uma flag de propriedade controlada pelo cliente chamada senderIsOwner. O OpenClaw confia nessa flag sem verificá-la na sessão autenticada, o que permite que um processo local com um bearer token válido se eleve a privilégios de proprietário e assuma o controle da configuração do gateway, do agendamento de tarefas e do gerenciamento do ambiente de execução.

Como o ataque em cadeia funciona na prática

O atacante começa com uma injeção de prompt, um plugin malicioso ou uma entrada externa comprometida para obter execução de código dentro do sandbox. A partir desse ponto inicial, as demais falhas podem ser exploradas em paralelo. Com as CVE-2026-44113 e CVE-2026-44115, o atacante extrai credenciais, tokens de autenticação, arquivos de configuração e outros dados sensíveis. 

A CVE-2026-44118 então eleva os privilégios para o nível de proprietário do agente. Por fim, a CVE-2026-44112 é usada para plantar backdoors e garantir controle persistente sobre o host. A Cyera destaca que cada etapa do ataque imita comportamento legítimo do agente, o que dificulta significativamente a detecção por controles de segurança tradicionais. 

“O encadeamento não depende de um único exploit crítico. Ele demonstra como múltiplas fraquezas menores podem ser exploradas em paralelo a partir de um único ponto de entrada para alcançar um comprometimento completo”, afirma a empresa no relatório.

Patches disponíveis desde 23 de abril

As quatro vulnerabilidades foram reportadas aos mantenedores do OpenClaw em 22 de abril de 2026. As correções foram publicadas no dia seguinte, cobrindo os identificadores GHSA-5h3g-6xhh-rg6p, GHSA-wppj-c6mr-83jj, GHSA-r6xh-pqhr-v4xh e GHSA-x3h8-jrgh-p8jx.

A Cyera recomenda atualização imediata, rotação de todas as credenciais acessíveis por processos do OpenClaw e auditoria do escopo de acesso de cada agente em produção. Instâncias expostas diretamente à internet devem ser colocadas atrás de autenticação ou controles de firewall com prioridade.

Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.

autor de origem

Compartilhar 0 FacebookTwitterLinkedinWhatsapp
postagem anterior
Trump diz que está adiando ataque ao Irã planejado para terça-feira
próxima postagem
Castramóvel realiza castrações gratuitas no Bairro do Bacci nos dias 27 e 28 de maio

Você também pode gostar

Pirataria é a única opção para preservar games,...

2 de julho de 2026

Kingdom Come: Deliverance II e mais jogos de...

2 de julho de 2026

Todos os easter eggs de Star Wars na...

2 de julho de 2026

Capcom adianta data de Onimusha: Way of the...

2 de julho de 2026

POSTS MAIS RECENTES

  • Pirataria é a única opção para preservar games, diz arquivista após fim da mídia física da Sony
  • Acidente com ônibus deixa 11 feridos no interior de SP
  • Fim da greve: servidores da Unicamp voltam ao trabalho na segunda-feira
  • Estrela do atletismo é pódio nos Jogos Parasul-Americanos no ciclismo
  • Carro elétrico mais barato do Brasil tem vendas suspensas; entenda o motivo

Siga-nos

  • Recente
  • Popular
  • Pirataria é a única opção para preservar games, diz arquivista após fim da mídia física da Sony

    2 de julho de 2026
  • Acidente com ônibus deixa 11 feridos no interior de SP

    2 de julho de 2026
  • Fim da greve: servidores da Unicamp voltam ao trabalho na segunda-feira

    2 de julho de 2026
  • Estrela do atletismo é pódio nos Jogos Parasul-Americanos no ciclismo

    2 de julho de 2026
  • 1

    Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”

    22 de janeiro de 2026
  • 2

    IPVA mais caro do Brasil custa R$ 1 milhão; veja o carro mais caro de cada estado

    20 de janeiro de 2026
  • 3

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026
  • 4

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026

Postagens em destaque

Queijo artesanal de Campinas conquista medalha de bronze...

2 de julho de 2026

Participe da pesquisa Os Eleitos 2026

2 de julho de 2026

Kingdom Come: Deliverance II e mais jogos de...

2 de julho de 2026

Todos os easter eggs de Star Wars na...

2 de julho de 2026

Vacina contra VSR em idosos reduz internações em...

2 de julho de 2026

Leitura obrigatória

  • Pirataria é a única opção para preservar games, diz arquivista após fim da mídia física da Sony

    2 de julho de 2026
  • Acidente com ônibus deixa 11 feridos no interior de SP

    2 de julho de 2026
  • Fim da greve: servidores da Unicamp voltam ao trabalho na segunda-feira

    2 de julho de 2026
  • Estrela do atletismo é pódio nos Jogos Parasul-Americanos no ciclismo

    2 de julho de 2026
  • Carro elétrico mais barato do Brasil tem vendas suspensas; entenda o motivo

    2 de julho de 2026

Newsletter

Posts relacionados

  • Pirataria é a única opção para preservar games, diz arquivista após fim da mídia física da Sony

    2 de julho de 2026
  • Kingdom Come: Deliverance II e mais jogos de Xbox com até 93% OFF; confira

    2 de julho de 2026
  • Todos os easter eggs de Star Wars na franquia de Toy Story, incluindo Toy Story 5

    2 de julho de 2026
  • Capcom adianta data de Onimusha: Way of the Sword para evitar competição com outros games

    2 de julho de 2026
  • Google perde recurso e multa recorde de 4,1 bilhões de euros é mantida

    2 de julho de 2026

Mais vistas da semana

Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”
22 de janeiro de 2026
Altman pede desculpas por OpenAI não alertar polícia sobre suspeita de tiroteio
25 de abril de 2026
⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?
5 de abril de 2026

Postagens Aleatórias

Criminosos usam mais de 90 sites falsos para espalhar vírus de invasão remota
2 de julho de 2026
Venda de livros cresce no Brasil em 2025
26 de março de 2026
Janja diz ter sofrido assédio duas vezes durante o governo Lula
4 de março de 2026

Categorias Populares

  • Tecnologia (5.833)
  • Política (3.650)
  • Mundo (3.258)
  • Campinas (2.019)
  • Negócios (1.271)
  • Economia (1.255)
  • Auto (1.087)
  • Bragança Paulista (1.051)
  • Esporte (757)
  • Saúde (487)

Notícias de São Paulo e do mundo, em tempo real. Cobertura completa de política, economia, mercado, cidades e assuntos que importam — com contexto e credibilidade.

Facebook Twitter Instagram Linkedin Youtube

Copyright © 2026 SampaNews. Todos os Direitos Reservados.

  • Anuncie
  • Contato
  • Política de Privacidade
sampanews.com
  • Home