Uma cadeia de quatro vulnerabilidades críticas descobertas na plataforma OpenClaw, uma das plataformas de código aberto mais rápidas para agentes de IA autônomos, deixou cerca de 245.000 instâncias de servidores publicamente acessíveis expostas à exploração remota, roubo de credenciais e instalação de backdoors persistentes.
Detalhamento das vulnerabilidades identificadas
A equipe de pesquisa da Cyera identificou quatro vulnerabilidades anteriormente não divulgadas e as comunicou aos mantenedores do OpenClaw em abril de 2026. Todas foram corrigidas, mas o impacto potencial permanece significativo devido à grande base instalada.
CVE-2026-44112 (CVSS 9.6 – Crítico): Uma condição de corrida time-of-check/time-of-use (TOCTOU) na sandbox OpenShell permite que atacantes redirecionem operações de gravação para fora dos limites da sandbox, facilitando a manipulação de configuração e a instalação de backdoors persistentes no host.
CVE-2026-44115 (CVSS 8.8 – Alto): Uma lacuna entre a validação de comandos do OpenClaw e a execução do shell permite que variáveis de ambiente, incluindo chaves de API, tokens e credenciais, vazem através de heredocs não aspas que parecem seguros no momento da validação.
CVE-2026-44118 (CVSS 7.8 – Alto): O OpenClaw confia cegamente em uma flag de propriedade controlada pelo cliente (senderIsOwner) sem referenciar a sessão autenticada, permitindo que um processo local com um token bearer válido eleve para o controle de nível de proprietário sobre a configuração do gateway.
CVE-2026-44113 (CVSS 7.7 – Alto): O mesmo padrão de condição de corrida TOCTOU em operações de leitura permite que atacantes troquem caminhos de arquivos validados com links simbólicos apontando para fora da raiz de montagem permitida, expondo arquivos do sistema e artefatos internos.
Cadeia de exploração e risco combinado
Embora cada falha tenha seu próprio peso, seu efeito combinado, apelidado de "Claw Chain" pela Cyera, é muito mais alarmante. A partir de um único ponto de apoio, como um plugin malicioso, injeção de prompt ou entrada externa comprometida, um atacante pode encadear três vulnerabilidades em paralelo.
O processo de exploração começa com a obtenção de execução de código dentro da sandbox OpenShell. Em seguida, utiliza-se as vulnerabilidades de leitura e vazamento para colher credenciais e arquivos sensíveis. Em seguida, ocorre a elevação de privilégios para controle de nível de proprietário do runtime do agente. Finalmente, o atacante implanta backdoors para modificar o comportamento futuro do agente.
O que torna essa cadeia especialmente perigosa é que o atacante arma os próprios privilégios do agente de IA. Cada passo imita o comportamento normal do agente, tornando a detecção significativamente mais difícil para controles de segurança tradicionais.
Alcance e setores de risco
Varreduras do Shodan e ZoomEye em maio de 2026 revelaram aproximadamente 65.000 e 180.000 instâncias publicamente acessíveis do OpenClaw, respectivamente, totalizando cerca de 245.000 servidores expostos. Empresas nos setores de serviços financeiros, saúde e direito enfrentam o maior risco, especialmente onde fluxos de trabalho de agentes processam PII, PHI ou credenciais privilegiadas.
A adoção rápida do OpenClaw para automação de TI, pipelines de atendimento ao cliente e integrações operacionais com plataformas como Telegram, Discord e Microsoft Agent 365 aumentou a superfície de ataque. O acesso amplo e privilegiado que a plataforma concede a modelos de linguagem grandes a torna um alvo de alto valor excepcionalmente atraente.
Medidas de correção e mitigação
Organizações que executam o OpenClaw devem tratar este aviso como prioridade 1. A correção imediata deve ser aplicada aplicando as correções de 23 de abril de 2026 que cobrem os identificadores de segurança GHSA-5h3g-6xhh-rg6p, GHSA-wppj-c6mr-83jj, GHSA-r6xh-pqhr-v4xh e GHSA-x3h8-jrgh-p8jx.
Além do patch, é crucial rodar todas as chaves secretas, assumindo que qualquer variável de ambiente ou credencial alcançável pelos processos do OpenClaw pode já estar comprometida. Identificar instâncias expostas usando varreduras do Shodan ou inventário de ativos internos e colocá-las atrás de controles de autenticação ou firewall é essencial.
Auditoria de acesso e governança
A auditoria de acesso do agente deve ser realizada, tratando implantações do OpenClaw como identidades privilegiadas sujeitas aos mesmos controles de ciclo de vida de contas de serviço. A segurança de agentes de IA requer uma abordagem diferente da segurança de software tradicional, focando na proteção dos dados que os agentes acessam e nas permissões que eles executam.
Organizações devem revisar os fluxos de trabalho de automação para garantir que não haja dependências de plugins não verificados. A implementação de monitoramento de comportamento de agentes pode ajudar a detectar atividades anômalas que indiquem exploração das vulnerabilidades.
Conclusão e lições aprendidas
O incidente do OpenClaw destaca os riscos de segurança associados à adoção rápida de ferramentas de IA autônoma em ambientes corporativos. A segurança deve ser integrada desde o design, com validação rigorosa de entradas e controle de acesso estrito. A transparência sobre vulnerabilidades e a colaboração entre pesquisadores e mantenedores são fundamentais para mitigar riscos em ecossistemas de IA em crescimento.