Vulnerabilidades de Seguridad de OpenClaw: Fallas Críticas del Framework Corregidas el 28.3.2026.

Vulnerabilidades de Seguridad Críticas en el Marco OpenClaw

El Laboratorio de Seguridad de IA Ant realizó una auditoría de 3 días del marco central de OpenClaw y presentó 33 informes de vulnerabilidades. Ocho de estas vulnerabilidades fueron corregidas en la versión 2026.3.28, revelando importantes problemas de seguridad arquitectónica más allá de los riesgos comúnmente discutidos de inyección de prompts y habilidades maliciosas.

Vulnerabilidades Específicas Identificadas

• Evasión del Sandbox a través de Parámetros de Herramientas: En versiones <= 2026.3.24, la herramienta message acepta alias mediaUrl y fileUrl que evaden la validación del sandbox. Esto permite que agentes restringidos a un sandbox lean archivos locales arbitrarios a través de estos parámetros alias, rompiendo efectivamente el aislamiento.
• Escalada de Privilegios mediante Emparejamiento de Dispositivos: La ruta del comando /pair approve estaba llamando a la aprobación del dispositivo sin pasar los alcances del llamante a la verificación central. Usuarios con privilegios básicos de emparejamiento podían aprobar solicitudes de dispositivos pendientes que pedían alcances más amplios, incluido el acceso de administrador completo, otorgándose permisos que no tenían.
• Persistencia de Sesión tras la Revocación de Tokens: Cuando se revocan los tokens, la puerta de enlace solo actualiza las credenciales almacenadas sin desconectar las sesiones WebSocket ya autenticadas. Los dispositivos revocados pueden continuar usando sus sesiones activas hasta que las conexiones se caigan naturalmente.
• Vulnerabilidad SSRF en el Proveedor de Imágenes: El proveedor fal para la generación de imágenes utiliza solicitudes de obtención sin procesar tanto para el tráfico de API como para las descargas de imágenes, omitiendo las rutas de obtención protegidas contra SSRF. Los relés maliciosos podrían forzar a la puerta de enlace a obtener URLs internas y exponer respuestas de servicios internos a través de la canalización de imágenes.
• Degradación de la Lista de Permitidos: Las listas de permitidos a nivel de ruta para grupos (por ejemplo, para Google Chat o Zalo) se degradaban silenciosamente de allowlist a open en lugar de preservar las políticas de grupo. Cualquier miembro del espacio permitido podía interactuar con el bot, ignorando las restricciones a nivel de remitente.

Acciones Inmediatas Requeridas

• Verifique su versión de OpenClaw. Si es < 2026.3.28, actualice inmediatamente.
• Revise los registros de emparejamiento para cualquier concesión de administrador inesperada.
• Si recientemente revocó un token, fuerce el reinicio de su puerta de enlace para terminar las sesiones WebSocket persistentes.

La auditoría del Laboratorio de Seguridad de IA Ant destaca que, aunque mucha atención se centra en el comportamiento de los LLM, los límites de confianza y la validación de parámetros del marco subyacente son igualmente críticos para la seguridad. Los 8 avisos de la auditoría están disponibles públicamente en la pestaña de seguridad de GitHub de OpenClaw.