Vulnerabilidades de Seguridad de la Función 'Permitir Siempre' de OpenClaw y Alternativas Más Seguras

Vulnerabilidades del Sistema de Aprobación de OpenClaw

El sistema de aprobación de OpenClaw pregunta a los usuarios "¿puedo hacer esto?" antes de ejecutar comandos, con opciones para aprobar una vez o aprobar siempre. La función "permitir siempre" ha sido identificada como un riesgo de seguridad a través de dos CVEs recientes.

Problemas de Seguridad Específicos

CVE-2026-29607: La aprobación "permitir siempre" se vincula al comando wrapper, no al comando interno. Si apruebas time npm test con "siempre", el sistema recuerda "permitir siempre time". Más tarde, si el agente (o mediante inyección de prompt) ejecuta time rm -rf /, se ejecuta sin volver a preguntar porque aprobaste el comando wrapper.

CVE-2026-28460: Esta vulnerabilidad omite por completo la lista de permitidos utilizando caracteres de continuación de línea del shell. Técnica diferente pero mismo resultado: los comandos se ejecutan sin la verificación de aprobación que pensabas que te protegía.

Ambas vulnerabilidades están parcheadas en OpenClaw 3.12+, pero el problema más profundo persiste.

El Problema de Seguridad Conductual

Incluso después del parche, el modelo mental de "permitir siempre" entrena a los usuarios para dejar de prestar atención. Inicialmente, los usuarios leen cuidadosamente cada solicitud de aprobación. Para la semana 3, están haciendo clic en "siempre" en todo porque las solicitudes se vuelven molestas y se genera confianza en el agente. Para la semana 6, los usuarios acumulan 20+ reglas de "siempre" que no podrían enumerar si se les preguntara.

Enfoque Alternativo Recomendado

El autor de la fuente recomienda: no "permitir siempre" para nada que modifique archivos, envíe mensajes o ejecute comandos de shell. En su lugar, agrega barreras explícitas en tu archivo SOUL.md:

"para cualquier acción que modifique archivos, envíe comunicaciones o ejecute comandos de shell: muéstrame exactamente lo que planeas hacer y espera mi ok explícito. las aprobaciones anteriores no se trasladan. pregunta cada vez. esto no es negociable."

Este enfoque significa más toques de "ok" en interfaces como Telegram, pero evita que el agente sea engañado mediante inyección de prompt o su propia alucinación para ejecutar acciones destructivas bajo aprobaciones obsoletas.

Conclusión Clave

El sistema de aprobación es una función de conveniencia que nunca fue diseñada como un límite de seguridad. Trátalo en consecuencia.