Pesquisadores da Oasis Security descobriram uma vulnerabilidade crítica no OpenClaw, agente de IA de código aberto que acumulou mais de 100 mil estrelas no GitHub em apenas cinco dias. A falha permitia que qualquer site malicioso tome controle total do agente sem exigir nenhuma ação do desenvolvedor, basta visitar a página.
O OpenClaw roda localmente no computador do usuário e se conecta a aplicativos de mensagens, calendários, ferramentas de desenvolvimento e sistemas de arquivos – agindo de forma autônoma em nome do usuário. É justamente esse acesso amplo que torna a vulnerabilidade tão perigosa.
Como o ataque funciona
O OpenClaw opera por meio de um WebSocket gateway vinculado ao localhost, o endereço local do próprio computador. Dispositivos conectados, como aplicativos mobile ou outras máquinas, se registram nesse gateway e expõem capacidades como execução de comandos no sistema, leitura de arquivos e acesso a contatos. O ataque exige apenas que o desenvolvedor visite um site comprometido no navegador.
A partir daí, a cadeia de exploração é totalmente silenciosa. O site carrega um script JavaScript que abre uma conexão WebSocket direto para o localhost do desenvolvedor, algo que navegadores modernos permitem para endereços de loopback. O script então realiza um ataque de força bruta contra a senha do gateway a centenas de tentativas por segundo.
O problema é que o limitador de tentativas do OpenClaw não conta conexões vindas do localhost. Os desenvolvedores partiram do princípio de que conexões locais são inerentemente seguras, e isentaram o localhost de qualquer tipo de bloqueio ou registro de falhas. O resultado é que o script testa senhas indefinidamente, sem ser travado, sem gerar alertas.
Depois de descobrir a senha, o script se registra como dispositivo confiável. O gateway, por sua vez, aprova automaticamente pareamentos originados do localhost, sem exibir nenhuma confirmação para o usuário.
Com a sessão autenticada, os pesquisadores demonstraram a cadeia de exploração completa de ponta a ponta, interagindo com um agente ativo a partir de uma sessão de navegador independente.
Acesso total em silêncio
Com controle do agente estabelecido, o atacante pode instruí-lo a buscar chaves de API no histórico do Slack, ler mensagens privadas, exfiltrar arquivos de dispositivos conectados e executar comandos arbitrários no terminal.
Os pesquisadores classificam o cenário como equivalente a um comprometimento completo da estação de trabalho, iniciado a partir de uma aba do navegador, sem nenhuma indicação visível ao desenvolvedor.
Por dentro da falha
A vulnerabilidade não é um bug isolado, é o resultado de três decisões de arquitetura que, combinadas, criam uma superfície de ataque perfeita. O primeiro ponto de falha está na confiança implícita no localhost. O gateway do OpenClaw trata qualquer conexão originada de 127.0.0.1 como se viesse de um processo local e legítimo.
Esse modelo de confiança ignora que o navegador, ao carregar uma página externa, executa JavaScript no contexto da máquina local. Na prática, um site remoto consegue iniciar conexões que o gateway interpreta como internas.
O segundo problema está na ausência de rate limiting para loopback. O mecanismo de proteção contra força bruta do OpenClaw opera com base na origem da requisição, onde conexões externas são monitoradas e bloqueadas após tentativas excessivas, mas conexões vindas do localhost ficam completamente fora desse controle.
O terceiro vetor é o auto-aprovação de pareamento via localhost. Ao se autenticar, um novo cliente precisa se registrar como dispositivo confiável. O gateway foi configurado para aprovar automaticamente esse registro quando a requisição vem do loopback, sem exibir nenhum prompt de confirmação para o usuário.
Esse atalho, pensado para facilitar o setup local, elimina a única barreira que restava entre a autenticação e o controle total do agente.
Como se proteger
A equipe do OpenClaw classificou a falha como de alta severidade e lançou o patch em menos de 24 horas, uma resposta expressiva para um projeto mantido por voluntários.
Ainda assim, dada a adoção massiva da ferramenta, organizações devem assumir que existem instâncias desatualizadas espalhadas pelas máquinas de desenvolvedores e tratar a correção com a mesma urgência de qualquer patch crítico. Para se proteger, é possível tomar algumas ações.
- Atualizar imediatamente para a versão OpenClaw 2026.2.25 ou mais recente;
- Fazer inventário de todas as instalações do OpenClaw, inclusive as feitas fora do controle de TI;
- Revogar credenciais e chaves de API desnecessárias concedidas ao agente;
- Tratar instâncias de agentes de IA com o mesmo rigor aplicado a contas de usuários e serviços críticos.
Quer saber mais sobre vulnerabilidades como essa? Siga o TecMundo nas redes sociais e no YouTube. Para receber notícias de tecnologia e segurança, assine nossa newsletter.