Os patches de segurança da OpenClaw corrigem a exposição de credenciais via código QR e vulnerabilidades de carregamento automático de plugins.
Duas vulnerabilidades críticas de segurança corrigidas na OpenClaw
A OpenClaw lançou dois patches de segurança que corrigem vulnerabilidades graves na plataforma. Os patches foram lançados na versão 2026.3.12 e seguem outro problema de segurança (GHSA-5wcw-8jjv-m286) que foi corrigido no dia anterior.
Vulnerabilidade no pareamento por QR code
O sistema de pareamento por QR code usado para configurar novos dispositivos estava incorporando credenciais permanentes do gateway diretamente no código QR, sem data de expiração. Isso significava que qualquer pessoa que capturasse uma captura de tela do código QR teria acesso permanente a tudo o que o agente poderia fazer. A vulnerabilidade foi corrigida na v2026.3.12, que agora usa códigos temporários.
Se você já compartilhou seu código QR de configuração em qualquer lugar (Discord, Reddit, Twitter, Facebook, etc.), deve rotacionar seu token de gateway imediatamente.
Vulnerabilidade de carregamento automático de plugins
A segunda vulnerabilidade envolvia plugins de workspace sendo carregados e executados automaticamente quando um repositório era clonado. O sistema executava os plugins sem pedir confirmação do usuário ou verificar se a fonte era confiável. Isso também foi corrigido na v2026.3.12.
Estatísticas de exposição
De acordo com dados da SecurityScorecard da semana passada, há mais de 40.000 instâncias da OpenClaw expostas na internet aberta. Dessas, aproximadamente 12.000 eram exploráveis por meio de vulnerabilidades de execução remota de código (RCE). O número real provavelmente é maior agora.
Se você está executando a OpenClaw, deve atualizar para a versão mais recente imediatamente para resolver esses problemas de segurança.
📖 Leia a fonte completa: r/openclaw
👀 See Also
Claude implementa verificação de identidade para certos casos de uso
A Anthropic está implementando verificação de identidade para o Claude por meio do Persona Identities, exigindo documentos de identidade com foto emitidos pelo governo e selfies ao vivo. O processo de verificação leva menos de cinco minutos e é usado para prevenir abusos e cumprir obrigações legais.
Sandboxing OpenClaw: Aprimorando a Segurança na Codificação de IA
Descubra as discussões mais recentes da comunidade OpenClaw sobre sandboxing, uma técnica crítica para proteger agentes de codificação de IA. Explore por que os usuários acreditam que ela é essencial para salvaguardar as inovações em IA.
Proxy McpVanguard Bloqueia Exfiltração de Dados da Habilidade OpenClaw
Um desenvolvedor criou o McpVanguard, um proxy que fica entre os agentes de IA e suas ferramentas para bloquear cadeias de chamadas maliciosas, como exfiltração de dados, em resposta à descoberta da Cisco de que habilidades do OpenClaw realizavam roubo silencioso de dados. Ele usa correspondência de padrões, pontuação de intenção semântica e detecção de cadeias comportamentais.
Lacuna de Segurança do OpenClaw Solucionada pela Especificação do Poder de Procuração Agente (APOA)
Um desenvolvedor publicou uma especificação aberta chamada Procuração Agente (APOA) para abordar preocupações de segurança no OpenClaw, onde os agentes atualmente acessam serviços como e-mail e calendário com apenas instruções em linguagem natural como barreiras de proteção. A especificação propõe permissões por serviço, acesso limitado no tempo, trilhas de auditoria, revogação e isolamento de credenciais.