MCPwner IA, Ferramenta de Pentest, Encontra Múltiplas Vulnerabilidades 0-Day no OpenClaw

✍️ OpenClawRadar📅 Publicado: February 26, 2026🔗 Source
MCPwner IA, Ferramenta de Pentest, Encontra Múltiplas Vulnerabilidades 0-Day no OpenClaw
Ad

O que é o MCPwner

MCPwner é um servidor MCP (Model Context Protocol) que permite que agentes de IA realizem testes de penetração automatizados contra alvos de segurança. O desenvolvedor o construiu para orquestrar modelos de IA mais antigos, como GPT-4o e Claude 3.5 Sonnet, que, quando devidamente direcionados pelo MCPwner, podem encontrar falhas arquitetônicas profundas que as ferramentas de varredura padrão não detectam.

Descobertas Recentes no OpenClaw

Quando direcionado ao OpenClaw, o MCPwner identificou com sucesso múltiplas vulnerabilidades de dia zero que agora receberam avisos oficiais. Estas não eram apenas falhas menores, mas problemas críticos de segurança:

  • Injeção de Variáveis de Ambiente
  • Bypass de aprovação automática de permissões ACP
  • Divulgação de informações por oráculo de existência de arquivos
  • Bypass de entrada padrão exclusiva do safeBins

A ferramenta encontrou bypasses lógicos e pontos de injeção que as ferramentas tradicionais de análise estática ignoraram completamente.

Ad

Abordagem Técnica

O MCPwner demonstra que modelos de IA de nível médio e mais antigos, quando devidamente orquestrados por este servidor MCP, podem superar a análise estática tradicional na descoberta de vulnerabilidades. O projeto já identificou múltiplas vulnerabilidades e outros CVEs além das descobertas no OpenClaw.

Status do Projeto e Contribuição

O projeto ainda está em desenvolvimento ativo, mas já está produzindo resultados. O desenvolvedor está buscando contribuidores para ajudar a aprimorar a lógica de varredura e expandir o conjunto de ferramentas. Pull requests e feedback são bem-vindos, especialmente daqueles que trabalham no espaço de IA ofensiva e desejam testar a ferramenta.

Repositório GitHub: https://github.com/Pigyon/MCPwner

📖 Leia a fonte completa: r/openclaw

Ad

👀 See Also

Três Vetores de Ataque Baseados em E-mail Contra Agentes de IA Que Lêem E-mail
Security

Três Vetores de Ataque Baseados em E-mail Contra Agentes de IA Que Lêem E-mail

Uma postagem no Reddit detalha três métodos específicos que atacantes podem usar para sequestrar agentes de IA que processam e-mail: Instruction Override, Data Exfiltration e Token Smuggling. Esses métodos exploram a incapacidade do agente de distinguir instruções legítimas de instruções maliciosas embutidas no texto do e-mail.

OpenClawRadar
Scanner de Injeção de Prompt de Modelo Local para Segurança de Habilidades de IA
Security

Scanner de Injeção de Prompt de Modelo Local para Segurança de Habilidades de IA

Uma ferramenta de prova de conceito varre habilidades de IA de terceiros em busca de injeções ocultas de comandos bash usando um modelo local sem chamada de ferramentas como mistral-small:latest no Ollama, abordando vulnerabilidades de segurança no recurso do operador ! do Claude Code.

OpenClawRadar
EctoClaw: Ferramenta de Segurança para Agentes OpenClaw com Acesso ao Terminal
Security

EctoClaw: Ferramenta de Segurança para Agentes OpenClaw com Acesso ao Terminal

EctoClaw é uma ferramenta de segurança gratuita e de código aberto para OpenClaw que verifica cada ação quatro vezes antes da execução, executa ações em um sandbox robusto e registra tudo com prova.

OpenClawRadar
Pacote Litellm do PyPI Comprometido: Versão Maliciosa 1.82.8 Exfiltrou Credenciais
Security

Pacote Litellm do PyPI Comprometido: Versão Maliciosa 1.82.8 Exfiltrou Credenciais

O pacote litellm do PyPI, que unifica chamadas para OpenAI, Anthropic, Cohere e outros provedores de LLM, foi comprometido com a versão maliciosa 1.82.8 que exfiltrou chaves SSH, credenciais de nuvem, chaves de API e outros dados sensíveis por cerca de uma hora.

OpenClawRadar