Vulnerabilidades de Segurança do OpenClaw: Falhas Críticas na Estrutura Corrigidas em 28.03.2026.

Vulnerabilidades Críticas de Segurança no Framework OpenClaw

O Ant AI Security Lab realizou uma auditoria de 3 dias do framework principal do OpenClaw e enviou 33 relatórios de vulnerabilidades. Oito dessas vulnerabilidades foram corrigidas na versão 2026.3.28, revelando problemas significativos de segurança arquitetural além dos riscos de injeção de prompt e habilidades maliciosas amplamente discutidos.

Vulnerabilidades Específicas Identificadas

• Bypass de Sandbox via Parâmetros de Ferramenta: Nas versões <= 2026.3.24, a ferramenta message aceita aliases mediaUrl e fileUrl que contornam a validação do sandbox. Isso permite que agentes restritos a um sandbox leiam arquivos locais arbitrários através desses parâmetros de alias, efetivamente quebrando o isolamento.
• Escalonamento de Privilégios via Emparelhamento de Dispositivo: O caminho do comando /pair approve estava chamando a aprovação do dispositivo sem encaminhar os escopos do chamador para a verificação principal. Usuários com privilégios básicos de emparelhamento poderiam aprovar solicitações pendentes de dispositivos solicitando escopos mais amplos, incluindo acesso total de administrador, concedendo a si mesmos permissões que não possuem.
• Persistência de Sessão Após Revogação de Token: Quando os tokens são revogados, o gateway apenas atualiza as credenciais armazenadas sem desconectar as sessões WebSocket já autenticadas. Dispositivos revogados podem continuar usando suas sessões ativas até que as conexões caiam naturalmente.
• Vulnerabilidade SSRF no Provedor de Imagens: O provedor fal para geração de imagens usa buscas brutas tanto para tráfego de API quanto para downloads de imagens, ignorando caminhos de busca protegidos contra SSRF. Relés maliciosos poderiam forçar o gateway a buscar URLs internas e expor respostas de serviços internos através do pipeline de imagens.
• Degradação de Lista de Permissões: Listas de permissões de grupo em nível de rota (por exemplo, para Google Chat ou Zalo) estavam sendo silenciosamente rebaixadas de allowlist para open em vez de preservar as políticas de grupo. Qualquer membro do espaço da lista de permissões poderia interagir com o bot, ignorando as restrições de nível de remetente.

Ações Imediatas Necessárias

• Verifique sua versão do OpenClaw. Se for < 2026.3.28, atualize imediatamente.
• Revise os logs de emparelhamento para quaisquer concessões de administrador inesperadas.
• Se você revogou um token recentemente, reinicie forçadamente seu gateway para encerrar sessões WebSocket remanescentes.

A auditoria do Ant AI Security Lab destaca que, embora muita atenção se concentre no comportamento do LLM, os limites de confiança e a validação de parâmetros do framework subjacente são igualmente críticos para a segurança. Todos os 8 avisos da auditoria estão disponíveis publicamente na guia de segurança do OpenClaw no GitHub.