Segurança ⏱️ 7 min de leitura

Alerta OpenClaw: A Falha Crítica de "1-Click RCE" e o Guia Definitivo para Proteger o Teu Agente

Uma única visita a uma página maliciosa e basta. Em milissegundos, um atacante pode tomar controlo total do teu agente OpenClaw, roubar API keys, tokens de autenticação e executar código arbitrário na tua máquina. A vulnerabilidade CVE-2026-25253, com um score CVSS de 8.8 (Alto), afecta todas as versões anteriores a v2026.1.29 e já está a ser activamente explorada.

⚠️ Acção Imediata: Se usas o OpenClaw (ou o antigo Molt bot / Clawd bot), actualiza imediatamente para a versão v2026.1.29 ou superior. Após a actualização, roda todos os tokens e credenciais.

O Contexto: De Projecto Viral a Alvo Principal

Com mais de 100.000 utilizadores e o crescimento explosivo desde Novembro de 2025, o OpenClaw (anteriormente Clawd bot e Molt bot) tornou-se um dos agentes de IA mais populares do mundo. Mas essa popularidade trouxe atenção indesejada: nos últimos três dias, o projecto emitiu três alertas de segurança de alto impacto -- uma vulnerabilidade de execução remota de código (RCE) e duas vulnerabilidades de injecção de comandos.

Laurie Voss, director de relações com developers na Arize e ex-CTO fundador do npm, não conteve as palavras: "O OpenClaw é um dumpster fire de segurança." A CrowdStrike, Cisco, Tenable e outros gigantes de cibersegurança publicaram análises detalhadas sobre os riscos. A mensagem é clara: se tens o OpenClaw instalado, precisas de agir agora.

A Vulnerabilidade: Como Funciona o Ataque (CVE-2026-25253)

A vulnerabilidade, catalogada pelo NVD com CVSS 8.8 e classificada como CWE-669 (Transferência Incorrecta de Recursos Entre Esferas), foi descoberta pelo investigador de segurança Mav Levin da firma DepthFirst. A cadeia de ataque é composta por quatro fases e demora milissegundos a completar-se:

Fase 1: Roubo de Token via gatewayUrl

O Control UI do OpenClaw aceita cegamente um parâmetro gatewayUrl via query string e grava-o no localStorage sem qualquer validação. Um atacante cria um link como ?gatewayUrl=attacker.com/ws. Ao carregar a página, a aplicação envia automaticamente o token de autenticação para o servidor do atacante através da conexão WebSocket.

Fase 2: Hijacking de WebSocket (CSWSH)

Com o token roubado, o atacante explora uma falha crítica: o servidor WebSocket do OpenClaw não valida o header origin, aceitando pedidos de qualquer site. Isto permite que JavaScript malicioso no browser da vítima abra conexões de fundo para ws://localhost:18789 (a porta por defeito), autenticando-se com o token roubado. A vulnerabilidade funciona mesmo em instâncias configuradas apenas para loopback, porque é o browser da vítima que inicia a conexão.

Fase 3: Escape da Sandbox

O token roubado contém scopes operator.admin e operator.approvals. Com estes privilégios, o atacante desactiva as barreiras de segurança com dois comandos API: define exec.approvals.set como "off" (eliminando confirmações do utilizador) e força tools.exec.host para "gateway" (executando comandos directamente na máquina host, fora do contentor Docker). Como explicou Levin: "Estas defesas foram desenhadas para conter acções maliciosas de um LLM... mas não protegem contra esta vulnerabilidade."

Fase 4: Execução de Código Arbitrário

Finalmente, o atacante envia um pedido node.invoke com o método system.run para executar qualquer comando bash com privilégios totais do sistema. O resultado: controlo completo da máquina da vítima, acesso a API keys armazenadas, dados pessoais e potencial para movimentação lateral na rede.

🚨 Risco Empresarial: A CrowdStrike alerta que se empregados instalarem o OpenClaw em máquinas corporativas, um agente comprometido torna-se um "backdoor de IA automatizado" capaz de executar ordens de adversários, incluindo movimentação lateral por toda a infraestrutura.

A Solução Imediata: Actualizar e Rodar Credenciais

A equipa do OpenClaw respondeu rapidamente com a versão v2026.1.29, que corrige a falha adicionando um modal de confirmação para URLs de gateway, eliminando o comportamento de conexão automática sem aprovação do utilizador.

# Actualizar para a versão corrigida
cd ~/openclaw
git pull origin main
git checkout v2026.1.29

# Ou, se usas Docker:
docker pull openclaw/openclaw:v2026.1.29
docker-compose up -d

Após a actualização, roda imediatamente todos os tokens e credenciais:

  • Regenera o token de autenticação do gateway
  • Roda todas as API keys (OpenAI, Anthropic, etc.) que estejam configuradas
  • Revoga e recria tokens de integração com serviços externos

Checklist de Hardening: 6 Passos para Blindar o Teu Agente

Actualizar é essencial, mas não é suficiente. O ecossistema OpenClaw tem múltiplos vectores de ataque. Aqui fica um guia prático de hardening baseado nas recomendações da Tenable, CrowdStrike e Cisco:

1. Corre o Agente em Docker -- Nunca em Bare Metal

A fase 3 do ataque depende de escapar da sandbox. Se o agente correr directamente na tua máquina sem isolamento, o atacante ganha acesso total ao sistema operativo. Usa sempre um contentor Docker para limitar o raio de explosão em caso de compromisso. E nunca desactives o modo sandbox.

2. Nunca Exponhas o Control UI à Internet

A CrowdStrike detectou inúmeras instâncias OpenClaw expostas publicamente, muitas sobre HTTP não encriptado. A interface de administração deve estar acessível apenas via VPN, tunnel seguro (Cloudflare Tunnel, Tailscale) ou localhost. Se precisas de acesso remoto, nunca o faças sem autenticação robusta e HTTPS.

3. Desactiva a Aceitação Automática de Skills

Investigadores da Koi Security descobriram 341 skills maliciosas submetidas ao ClawHub, incluindo uma que roubava criptomoeda. Desactiva a instalação automática de skills e verifica manualmente o código de cada extensão antes de a activar. Trata o ClawHub como tratas qualquer marketplace de terceiros: com desconfiança.

4. Aplica o Princípio do Menor Privilégio

Limita as ferramentas e permissões do agente ao mínimo necessário. Faz whitelist explícita de ferramentas e bloqueia capacidades de execução de shell desnecessárias. Não uses o "god mode". Scopa cada API token ao mínimo de permissões possíveis.

5. Verifica a Autenticação do Gateway

Confirma que a protecção por password está activada. Se usas um reverse proxy (Nginx, Caddy), verifica que os headers de autenticação passam correctamente. A Tenable identificou que bypass de autenticação é possível em configurações com reverse proxy mal configurado.

6. Monitoriza e Audita Regularmente

Corre auditorias de segurança periódicas. Verifica logs do gateway para conexões WebSocket anómalas. O OpenClaw armazena tokens e credenciais em texto plano em ficheiros Markdown e JSON -- considera encriptar estes dados ou mover credenciais para um gestor de segredos dedicado.

Cuidado com Extensões e Ataques de Supply Chain

A CVE-2026-25253 não é a única ameaça. Como reportou a SecurityWeek, o ecossistema enfrenta problemas de supply chain graves:

  • 341 skills maliciosas no ClawHub, incluindo roubo de criptomoeda e exfiltração de dados
  • Extensões falsas do VS Code que se fazem passar pelo Clawdbot/OpenClaw e instalam malware (trojans e RATs)
  • 506 tentativas de prompt injection documentadas em discussões do Moltbook
  • Ataques de engenharia social sofisticados que exploram o comportamento autónomo do agente

Como alertou o The Register, o OpenClaw não é apenas uma ferramenta -- é um agente autónomo com capacidade de executar acções em cadeia. Um compromisso bem-sucedido não se limita a roubar dados: o agente comprometido pode continuar a executar objectivos do atacante pela infraestrutura sem intervenção adicional.

🔒 Resumo: Age Agora

Actualiza para v2026.1.29. Roda todas as credenciais. Corre em Docker. Não exponhas o Control UI. Desactiva skills automáticas. Estes passos não são opcionais -- são a diferença entre um agente de IA útil e uma porta aberta para atacantes.

Guia de Segurança Completo → Prompt Injection: Riscos →
Últimas Notícias Ver Todas →
Tendência Criador do OpenClaw Junta-se à OpenAI: O Que Muda? Segurança OpenClaw v2026.2.12: Como Blindar o Gateway do Teu Agente Actualização OpenClaw v2026.2.6: Opus 4.6 e GPT-5.3-Codex