Vulnerabilidades de Segurança do Recurso 'Permitir Sempre' do OpenClaw e Alternativas Mais Seguras
Vulnerabilidades do Sistema de Aprovação do OpenClaw
O sistema de aprovação do OpenClaw pergunta aos usuários "posso fazer isso?" antes de executar comandos, com opções para aprovar uma vez ou aprovar sempre. O recurso "permitir sempre" foi identificado como um risco de segurança através de duas CVEs recentes.
Problemas de Segurança Específicos
CVE-2026-29607: A aprovação "permitir sempre" se vincula ao comando wrapper, não ao comando interno. Se você aprovar time npm test com "sempre", o sistema lembra "sempre permitir time". Posteriormente, se o agente (ou através de injeção de prompt) executar time rm -rf /, ele executa sem re-prompt porque você aprovou o comando wrapper.
CVE-2026-28460: Esta vulnerabilidade ignora completamente a lista de permissões usando caracteres de continuação de linha do shell. Técnica diferente, mas mesmo resultado: comandos são executados sem a verificação de aprovação que você pensava estar protegendo você.
Ambas as vulnerabilidades foram corrigidas no OpenClaw 3.12+, mas o problema mais profundo permanece.
O Problema de Segurança Comportamental
Mesmo após a correção, o modelo mental do "permitir sempre" treina os usuários a parar de prestar atenção. Inicialmente, os usuários leem cuidadosamente cada prompt de aprovação. Na semana 3, eles estão clicando em "sempre" em tudo porque os prompts se tornam irritantes e a confiança no agente aumenta. Na semana 6, os usuários acumulam 20+ regras "sempre" que não conseguiriam listar se perguntados.
Abordagem Alternativa Recomendada
O autor da fonte recomenda: nenhum "permitir sempre" para qualquer coisa que modifique arquivos, envie mensagens ou execute comandos shell. Em vez disso, adicione guardrails explícitos em seu arquivo SOUL.md:
"para qualquer ação que modifique arquivos, envie comunicações ou execute comandos shell: mostre-me exatamente o que você planeja fazer e aguarde meu ok explícito. aprovações anteriores não são transferidas. pergunte toda vez. isso é não negociável."
Esta abordagem significa mais toques em "ok" em interfaces como o Telegram, mas impede que o agente seja enganado via injeção de prompt ou sua própria alucinação para executar ações destrutivas sob aprovações desatualizadas.
Conclusão Principal
O sistema de aprovação é um recurso de conveniência que nunca foi projetado como um limite de segurança. Trate-o de acordo.
📖 Leia a fonte completa: r/openclaw
👀 See Also
Google TIG relata primeiro exploit de zero-day gerado por IA encontrado na natureza
O Google Threat Intelligence Group identificou um ator de ameaças usando uma exploração de dia zero supostamente desenvolvida com IA, marcando o primeiro uso ofensivo observado de IA para exploração de vulnerabilidades de dia zero.
Analisador de Habilidades Agora Disponível no ClawHub com Instalação por Um Comando
O scanner de segurança OpenClaw Skill Analyzer já está disponível no ClawHub com instalação por um único comando. A ferramenta analisa pastas de habilidades em busca de padrões maliciosos como injeção de prompt e roubo de credenciais, e inclui suporte a sandbox Docker para execução segura.
Acesso Remoto Seguro com Tailscale para OpenClaw
Nenhum
Habilidade Gratuita do Claude Examina Outras Habilidades em Busca de Riscos de Segurança
Um desenvolvedor criou uma habilidade gratuita do Claude projetada para revisar a segurança de outras habilidades do Claude. A ferramenta ajuda a responder se uma habilidade do Claude parece razoavelmente segura para uso.