La popular plataforma de agentes de inteligencia artificial OpenClaw vuelve a estar en el punto de mira. Investigadores de seguridad han revelado una vulnerabilidad crítica bautizada como “ClawJacked” que permitía a una página web maliciosa tomar el control de una instancia local del software y ejecutar acciones con privilegios de administrador sin que el usuario lo advirtiera.
El fallo fue descubierto por la firma especializada Oasis Security y reportado al equipo de desarrollo de OpenClaw, que publicó un parche en la versión 2026.2.26 el pasado 26 de febrero. La rapidez en la corrección —menos de 24 horas tras la notificación— no resta gravedad a un problema que, en determinados escenarios, podía derivar en la toma completa del puesto de trabajo.
Un ataque que empezaba con una simple visita web
OpenClaw es una plataforma de IA autoalojada que ha ganado enorme popularidad por permitir a los usuarios desplegar agentes capaces de enviar mensajes, ejecutar comandos y gestionar tareas en múltiples servicios. Precisamente esa capacidad de orquestación es la que convertía la vulnerabilidad en un riesgo crítico.
El origen del problema estaba en el servicio gateway de OpenClaw, que por defecto se enlazaba a localhost y exponía una interfaz WebSocket. En principio, al estar limitada a la dirección de loopback (127.0.0.1), la superficie de exposición parecía reducida. Sin embargo, los investigadores detectaron una debilidad estructural: las políticas de mismo origen (Same-Origin Policy) de los navegadores no bloquean conexiones WebSocket hacia localhost.
Esto significaba que, si un usuario con OpenClaw en ejecución visitaba una web maliciosa, el código JavaScript incrustado podía abrir en segundo plano una conexión contra el gateway local e intentar autenticarse sin generar alertas visibles.
Fuerza bruta a velocidad de vértigo
OpenClaw incorporaba un sistema de limitación de intentos para evitar ataques de fuerza bruta. El problema es que las conexiones desde 127.0.0.1 estaban exentas de estas restricciones para no bloquear sesiones legítimas desde la línea de comandos.
Ese detalle abría la puerta a un escenario peligroso: la web maliciosa podía lanzar cientos de intentos de contraseña por segundo sin ser bloqueada ni generar registros de fallo. Según explicó Oasis Security, en sus pruebas lograron mantener un ritmo sostenido de cientos de intentos por segundo únicamente desde JavaScript ejecutado en el navegador.
A esa velocidad, una lista de contraseñas comunes se agotaba en menos de un segundo y un diccionario amplio podía probarse en cuestión de minutos. En la práctica, cualquier contraseña elegida manualmente tenía pocas probabilidades de resistir.
Una vez acertada la clave, el sistema permitía registrar automáticamente el dispositivo como “de confianza”, ya que el gateway aprobaba emparejamientos desde localhost sin requerir confirmación del usuario. El atacante obtenía así una sesión autenticada con privilegios administrativos.
De agente autónomo a puerta trasera total
Con acceso pleno, el atacante podía interactuar directamente con la plataforma de IA. Entre las acciones posibles se incluían el volcado de credenciales, la enumeración de nodos conectados, la lectura de logs y la extracción de información sensible.
El riesgo iba más allá del propio servidor local. OpenClaw está diseñado para coordinar tareas entre dispositivos y servicios vinculados. Un actor malicioso podía instruir al agente para que buscara información confidencial en historiales de mensajería, exfiltrara archivos de equipos conectados o incluso ejecutara comandos de shell arbitrarios en nodos emparejados.
En términos prácticos, esto equivalía a un compromiso completo del endpoint iniciado desde una simple pestaña del navegador. El vector no requería malware tradicional ni interacción adicional más allá de visitar una web preparada para explotar el fallo.
Parche urgente y endurecimiento del gateway
Tras recibir el informe técnico y el código de prueba de concepto, el equipo de OpenClaw lanzó la versión 2026.2.26. La actualización refuerza las comprobaciones de seguridad en las conexiones WebSocket y añade protecciones adicionales para evitar abusos de las conexiones de loopback, incluso cuando estén configuradas para quedar fuera de los límites de rate limiting.
La recomendación es clara: cualquier organización o desarrollador que ejecute OpenClaw debe actualizar de inmediato a la versión corregida o posterior. Dada la naturaleza silenciosa del ataque, no es sencillo determinar si una instancia fue explotada sin revisar en profundidad registros y actividad anómala.
