OpenClaw 2026.3.28 corrige 8 vulnerabilidades de seguridad, incluyendo una crítica de escalada de privilegios.
Parches críticos de seguridad para OpenClaw
OpenClaw 2026.3.28 incluye parches para 8 vulnerabilidades de seguridad identificadas durante una auditoría de 3 días por Ant AI Security Lab. La auditoría encontró 33 problemas en total, con estos 8 confirmados y corregidos en la última versión estable.
Vulnerabilidades clave corregidas
Los problemas más significativos incluyen:
- Escalada de privilegios de gravedad crítica: Operadores con privilegios bajos podían aprobar acceso de administrador a través de la ruta
/pair approve - Escape de sandbox de alta gravedad: La herramienta
messagepodía ser engañada para leer archivos locales arbitrarios usando parámetros de alias - Omisión de aprobación de emparejamiento de nodos de alta gravedad
- Secuestro de sesión WebSocket de alta gravedad
Sistemas afectados
Estas vulnerabilidades afectan configuraciones de OpenClaw multi-nodo y usuarios de herramientas integradas como message o fal.
Avisos de seguridad
Información detallada está disponible en los avisos de seguridad de GitHub:
- Crítica - escalada /pair approve: GHSA-hc5h-pmr3-3497
- Alta - escape de sandbox de herramienta message: GHSA-v8wv-jg3q-qwpq
- Alta - Omisión de aprobación de emparejamiento de nodos: GHSA-2x4x-cc5g-qmmg
- Alta - Secuestro de sesión WebSocket: GHSA-2pr2-hcv6-7gwv
Actualice a OpenClaw 2026.3.28 inmediatamente si aún no lo ha hecho.
📖 Read the full source: r/openclaw
👀 Ver también
Linux Kernel Propone Sistema de Identidad Descentralizado para Reemplazar la Red de Confianza de PGP
Los mantenedores del kernel de Linux están trabajando en una capa de identidad descentralizada llamada Linux ID para reemplazar la actual red de confianza PGP. El sistema utiliza identificadores descentralizados (DID) al estilo W3C y credenciales verificables para autenticar a los desarrolladores sin requerir sesiones presenciales de firma de claves.
Exploit asistido por LLM: la vista previa de Mythos de Anthropic ayudó a construir el primer exploit público del kernel de macOS en Apple M5 en cinco días
Usando la vista previa Mythos de Anthropic, la empresa de seguridad Calif creó el primer exploit público de corrupción de memoria del kernel de macOS en el silicio M5 de Apple en cinco días, rompiendo la seguridad hardware MIE que a Apple le llevó cinco años desarrollar.
La vulnerabilidad de GitHub Copilot CLI permite la ejecución de malware mediante inyección de comandos.
Una vulnerabilidad en GitHub Copilot CLI permite la ejecución arbitraria de comandos de shell mediante inyección indirecta de prompts sin aprobación del usuario. Los atacantes pueden crear comandos que evaden la validación y ejecutan malware inmediatamente en la computadora de la víctima.
Sieve: Escáner de Secretos Local para Historiales de Chat de Herramientas de Codificación de IA
Sieve escanea los historiales de chat de Cursor, Claude Code, Copilot y otros asistentes de codificación con IA en busca de claves API y tokens filtrados. Todo el escaneo es local, con redacción y bóveda de llavero de macOS.