Vulnerabilidades Críticas de Seguridad en OpenClaw Parcheadas el 28.3.2026.
Problemas Críticos de Seguridad en OpenClaw Core
Ant AI Security Lab identificó 33 vulnerabilidades en el framework de OpenClaw, con 8 problemas críticos corregidos en la versión 2026.3.28. Estas vulnerabilidades exponen problemas fundamentales en los límites de confianza en cómo se implementan los agentes.
Vulnerabilidades Específicas y Su Impacto
Omisión del Aislamiento del Sandbox
En versiones ≤2026.3.24, la herramienta message acepta los alias mediaUrl y fileUrl que omiten la validación del sandbox. Esto permite que los agentes restringidos a un sandbox lean archivos locales arbitrarios a través de estos parámetros de alias, haciendo ineficaz el aislamiento.
Escalada de Privilegios mediante Emparejamiento de Dispositivos
La ruta del comando /pair approve estaba llamando a la aprobación del dispositivo sin pasar los alcances del llamante a la verificación central. Esto significa que los usuarios con privilegios básicos de emparejamiento podían aprobar solicitudes de dispositivos pendientes que pedían alcances más amplios, incluido el acceso de administrador completo, otorgándose efectivamente permisos que no tienen.
Ineficacia de la Revocación de Tokens
Cuando se revocan los tokens por dispositivos sospechosos de estar comprometidos, la puerta de enlace solo actualiza las credenciales almacenadas sin desconectar las sesiones WebSocket ya autenticadas. Los dispositivos revocados pueden continuar usando sesiones activas hasta que las conexiones se cierren naturalmente.
Vulnerabilidad SSRF en el Proveedor de Imágenes
Al usar el proveedor fal para la generación de imágenes, utiliza recuperaciones directas tanto para el tráfico de API como para las descargas de imágenes, omitiendo la ruta de recuperación protegida contra SSRF. Esto permite que los relés maliciosos obliguen a la puerta de enlace a recuperar URL internas y exponer respuestas de servicios internos a través del pipeline de imágenes.
Degradación de la Lista de Permisos
Las listas de permisos a nivel de ruta para plataformas como Google Chat o Zalo se degradaban silenciosamente de allowlist a open en lugar de preservar las políticas de grupo. Esto permite que cualquier miembro del espacio en la lista de permisos interactúe con el bot, ignorando las restricciones a nivel de remitente.
Acciones Inmediatas Requeridas
- Verifique su versión de OpenClaw. Si es ≤2026.3.24, actualice a 2026.3.28 inmediatamente.
- Revise los registros de emparejamiento para cualquier concesión de administrador inesperada.
- Si recientemente revocó un token, reinicie forzosamente su puerta de enlace para terminar las sesiones WebSocket persistentes.
La auditoría de Ant AI Security Lab revela que, aunque mucha atención se centra en los riesgos de seguridad de LLM como la inyección de prompts, la propia validación de parámetros y los límites de confianza del framework presentan vulnerabilidades críticas. Los 8 avisos de la auditoría están disponibles públicamente en la pestaña de seguridad de GitHub de OpenClaw.
📖 Read the full source: r/openclaw
👀 Ver también
Sandboxing OpenClaw: Mejorando la seguridad en la codificación de IA
Descubre las últimas discusiones de la comunidad de OpenClaw sobre el sandboxing, una técnica crítica para asegurar agentes de codificación de IA. Explora por qué los usuarios creen que es esencial para proteger las innovaciones en IA.
mcp-scan: Escáner de seguridad para configuraciones de servidores MCP
mcp-scan verifica las configuraciones de servidores MCP en busca de problemas de seguridad, incluyendo secretos en archivos de configuración, vulnerabilidades conocidas en paquetes, patrones de permisos sospechosos, vectores de exfiltración y ataques de envenenamiento de herramientas. Detecta automáticamente configuraciones para Claude Desktop, Cursor, VS Code, Windsurf y otros 6 clientes de IA.
La defensa de delimitadores eleva a Gemma 4 del 21% al 100% en defensa contra inyección de prompts en más de 6100 pruebas de referencia
Un benchmark probó 15 modelos en 7 tipos de ataque (más de 6100 pruebas) usando delimitadores aleatorios alrededor de contenido no confiable. Gemma 4 E4B pasó de una tasa de defensa del 21.6% al 100% con delimitador + instrucción estricta.
Chatbots de IA filtrando números de teléfono reales: El problema de exposición de PII
Chatbots como Gemini, ChatGPT y Claude están exponiendo números de teléfono reales debido a la información personal identificable (PII) en los datos de entrenamiento. DeleteMe informa de un aumento del 400% en solicitudes de privacidad relacionadas con IA en siete meses.