Los parches de seguridad de OpenClaw corrigen la exposición de credenciales por código QR y vulnerabilidades de carga automática de complementos.
Dos vulnerabilidades críticas de seguridad parcheadas en OpenClaw
OpenClaw ha lanzado dos parches de seguridad que abordan vulnerabilidades graves en la plataforma. Los parches se lanzaron en la versión 2026.3.12 y siguen a otro problema de seguridad (GHSA-5wcw-8jjv-m286) que se solucionó el día anterior.
Vulnerabilidad de emparejamiento por código QR
El sistema de emparejamiento por código QR utilizado para configurar nuevos dispositivos estaba incrustando credenciales permanentes de puerta de enlace directamente en el código QR sin fecha de caducidad. Esto significaba que cualquier persona que capturara una captura de pantalla del código QR obtendría acceso permanente a todo lo que el agente podía hacer. La vulnerabilidad se solucionó en v2026.3.12, que ahora utiliza códigos temporales en su lugar.
Si alguna vez has compartido tu código QR de configuración en algún lugar (Discord, Reddit, Twitter, Facebook, etc.), deberías rotar tu token de puerta de enlace inmediatamente.
Vulnerabilidad de carga automática de complementos
La segunda vulnerabilidad implicaba que los complementos del espacio de trabajo se cargaban y ejecutaban automáticamente cuando se clonaba un repositorio. El sistema ejecutaba complementos sin pedir confirmación al usuario ni verificar si la fuente era confiable. Esto también se ha solucionado en v2026.3.12.
Estadísticas de exposición
Según datos de SecurityScorecard de la semana pasada, hay más de 40,000 instancias de OpenClaw expuestas en internet abierto. De estas, aproximadamente 12,000 eran explotables mediante vulnerabilidades de ejecución remota de código (RCE). El número real probablemente sea mayor ahora.
Si estás ejecutando OpenClaw, deberías actualizar a la última versión inmediatamente para abordar estos problemas de seguridad.
📖 Read the full source: r/openclaw
👀 Ver también
Usando FastAPI Guard para proteger las instancias de OpenClaw contra ataques.
FastAPI Guard proporciona middleware que añade 17 comprobaciones de seguridad, incluyendo filtrado de IP, bloqueo geográfico, limitación de tasa y detección de penetración. La herramienta bloquea ataques como los documentados en las auditorías de seguridad de OpenClaw, que muestran 512 vulnerabilidades y más de 40,000 instancias expuestas.
Cinco Pasos Esenciales de Seguridad para Instancias de OpenClaw
Una publicación de Reddit advierte que ejecutar OpenClaw con la configuración predeterminada crea riesgos de seguridad significativos y describe cinco acciones inmediatas: cambiar el puerto predeterminado, usar Tailscale para acceso privado, configurar un firewall, crear cuentas separadas para el agente y escanear habilidades antes de la instalación.
MCPwner, Herramienta de Pentesting con IA, Encuentra Múltiples Vulnerabilidades 0-Day en OpenClaw
MCPwner, un servidor MCP que orquesta agentes de IA para pruebas de penetración automatizadas, identificó varias vulnerabilidades críticas de día cero en OpenClaw, incluyendo inyección de variables de entorno, omisión de permisos y fallos de divulgación de información que los escáneres estándar pasaron por alto.
Brecha de seguridad de OpenClaw: 42,000 instancias expuestas.
OpenClaw experimentó una grave falla de seguridad que expuso 42,000 instancias con 341 habilidades maliciosas. La respuesta rápida involucró la creación de AgentVault, un proxy de seguridad.