Os patches de segurança da OpenClaw corrigem a exposição de credenciais via código QR e vulnerabilidades de carregamento automático de plugins.

✍️ OpenClawRadar📅 Publicado: March 13, 2026🔗 Source
Os patches de segurança da OpenClaw corrigem a exposição de credenciais via código QR e vulnerabilidades de carregamento automático de plugins.
Ad

Duas vulnerabilidades críticas de segurança corrigidas na OpenClaw

A OpenClaw lançou dois patches de segurança que corrigem vulnerabilidades graves na plataforma. Os patches foram lançados na versão 2026.3.12 e seguem outro problema de segurança (GHSA-5wcw-8jjv-m286) que foi corrigido no dia anterior.

Vulnerabilidade no pareamento por QR code

O sistema de pareamento por QR code usado para configurar novos dispositivos estava incorporando credenciais permanentes do gateway diretamente no código QR, sem data de expiração. Isso significava que qualquer pessoa que capturasse uma captura de tela do código QR teria acesso permanente a tudo o que o agente poderia fazer. A vulnerabilidade foi corrigida na v2026.3.12, que agora usa códigos temporários.

Se você já compartilhou seu código QR de configuração em qualquer lugar (Discord, Reddit, Twitter, Facebook, etc.), deve rotacionar seu token de gateway imediatamente.

Ad

Vulnerabilidade de carregamento automático de plugins

A segunda vulnerabilidade envolvia plugins de workspace sendo carregados e executados automaticamente quando um repositório era clonado. O sistema executava os plugins sem pedir confirmação do usuário ou verificar se a fonte era confiável. Isso também foi corrigido na v2026.3.12.

Estatísticas de exposição

De acordo com dados da SecurityScorecard da semana passada, há mais de 40.000 instâncias da OpenClaw expostas na internet aberta. Dessas, aproximadamente 12.000 eram exploráveis por meio de vulnerabilidades de execução remota de código (RCE). O número real provavelmente é maior agora.

Se você está executando a OpenClaw, deve atualizar para a versão mais recente imediatamente para resolver esses problemas de segurança.

📖 Leia a fonte completa: r/openclaw

Ad

👀 See Also

Agentes de IA permitem que hackers solitários invadam governos e campanhas de ransomware
Security

Agentes de IA permitem que hackers solitários invadam governos e campanhas de ransomware

Um operador solo usando Claude Code e ChatGPT extraiu 150 GB de agências governamentais mexicanas, incluindo 195 milhões de registros de contribuintes. Outro atacante usou Claude Code para executar uma campanha de extorsão de ponta a ponta contra 17 organizações de saúde e serviços de emergência.

OpenClawRadar
Clawndom: Um Gancho de Segurança para o Código Claude para Bloquear Pacotes npm Vulneráveis
Security

Clawndom: Um Gancho de Segurança para o Código Claude para Bloquear Pacotes npm Vulneráveis

Um desenvolvedor criou o Clawndom, um hook de código aberto para o Claude Code que verifica pacotes npm no banco de dados de vulnerabilidades OSV.dev antes da instalação, bloqueando pacotes vulneráveis conhecidos enquanto mantém a autonomia do agente.

OpenClawRadar
Lista de Verificação de Segurança para Aplicações Geradas pela IA Claude
Security

Lista de Verificação de Segurança para Aplicações Geradas pela IA Claude

Um desenvolvedor compartilha uma lista de verificação de lacunas comuns de segurança e operacionais encontradas em aplicativos construídos com Claude Code, incluindo limitação de taxa, falhas de autenticação, problemas de escalabilidade de banco de dados e vulnerabilidades de manipulação de entrada.

OpenClawRadar
Sinais de áudio ocultos sequestram sistemas de IA de voz com 79-96% de sucesso
Security

Sinais de áudio ocultos sequestram sistemas de IA de voz com 79-96% de sucesso

Pesquisas mostram que clipes de áudio imperceptíveis podem forçar LALMs a executar comandos não autorizados, como pesquisas na web, downloads de arquivos e exfiltração de e-mail, com 79-96% de sucesso em 13 modelos, incluindo Mistral e serviços da Microsoft.

OpenClawRadar