OpenClaw 2026.3.28 corrige 8 vulnerabilidades de segurança, incluindo escalonamento de privilégios crítico.

✍️ OpenClawRadar📅 Publicado: April 1, 2026🔗 Source
OpenClaw 2026.3.28 corrige 8 vulnerabilidades de segurança, incluindo escalonamento de privilégios crítico.
Ad

Correções críticas de segurança para OpenClaw

O OpenClaw 2026.3.28 inclui correções para 8 vulnerabilidades de segurança identificadas durante uma auditoria de 3 dias pelo Ant AI Security Lab. A auditoria encontrou 33 problemas no total, com estes 8 confirmados e corrigidos na última versão estável.

Principais vulnerabilidades corrigidas

Os problemas mais significativos incluem:

  • Escalação de privilégios de gravidade crítica: Operadores com privilégios mais baixos poderiam aprovar acesso de administrador através do caminho /pair approve
  • Fuga de sandbox de alta gravidade: A ferramenta message poderia ser enganada para ler arquivos locais arbitrários usando parâmetros de alias
  • Bypass de aprovação de emparelhamento de nós de alta gravidade
  • Sequestro de sessão WebSocket de alta gravidade

Sistemas afetados

Essas vulnerabilidades afetam configurações de OpenClaw com múltiplos nós e usuários de ferramentas integradas como message ou fal.

Ad

Alertas de segurança

Informações detalhadas estão disponíveis nos alertas de segurança do GitHub:

Atualize para o OpenClaw 2026.3.28 imediatamente se ainda não o fez.

📖 Read the full source: r/openclaw

Ad

👀 See Also

Riscos de segurança do OpenClaw: ações autônomas e preocupações com permissões
Security

Riscos de segurança do OpenClaw: ações autônomas e preocupações com permissões

O OpenClaw atua de forma autônoma em e-mail, calendário, mensagens e arquivos sem aguardar confirmação do usuário, com casos documentados de exfiltração de dados, injeção de prompt e comandos de parada ignorados.

OpenClawRadar
Proxy McpVanguard Bloqueia Exfiltração de Dados da Habilidade OpenClaw
Security

Proxy McpVanguard Bloqueia Exfiltração de Dados da Habilidade OpenClaw

Um desenvolvedor criou o McpVanguard, um proxy que fica entre os agentes de IA e suas ferramentas para bloquear cadeias de chamadas maliciosas, como exfiltração de dados, em resposta à descoberta da Cisco de que habilidades do OpenClaw realizavam roubo silencioso de dados. Ele usa correspondência de padrões, pontuação de intenção semântica e detecção de cadeias comportamentais.

OpenClawRadar
Agentes de IA permitem que hackers solitários invadam governos e campanhas de ransomware
Security

Agentes de IA permitem que hackers solitários invadam governos e campanhas de ransomware

Um operador solo usando Claude Code e ChatGPT extraiu 150 GB de agências governamentais mexicanas, incluindo 195 milhões de registros de contribuintes. Outro atacante usou Claude Code para executar uma campanha de extorsão de ponta a ponta contra 17 organizações de saúde e serviços de emergência.

OpenClawRadar
Preocupações de Segurança do OpenClaw: Chaves de API e Dados de Conversação em Risco na Hospedagem Própria Padrão
Security

Preocupações de Segurança do OpenClaw: Chaves de API e Dados de Conversação em Risco na Hospedagem Própria Padrão

Um relatório da Cisco indica que a segurança do OpenClaw é "opcional, não integrada", com configurações padrão armazenando chaves de API em arquivos .env em instâncias VPS, criando uma exposição potencial para usuários não técnicos que executam em droplets básicos.

OpenClawRadar