Segurança

Pesquisador detalha cadeia de ataque do WhatsApp ao host usando três falhas do OpenClaw

Pesquisador demonstra como três falhas corrigidas no assistente de IA pessoal OpenClaw podem ser exploradas em conjunto para roubar credenciais, escalar privilégios e executar código no host a partir de uma simples mensagem enviada pelo WhatsApp.


Ravie Lakshmanan Sábado - 11 de Julho de 2026 às 00:38
The Hacker News

Detalhes foram revelados sobre três falhas de segurança já corrigidas no assistente pessoal de inteligência artificial (IA) OpenClaw que, se exploradas com sucesso, podem permitir roubo de credenciais, escalonamento de privilégios e execução arbitrária de código no host.

Uma breve descrição das vulnerabilidades de alta severidade é a seguinte:

  • GHSA-hjr6-g723-hmfm (pontuação CVSS [Sistema de Pontuação de Vulnerabilidades Comuns]: 8,8) — Uma vulnerabilidade de injeção de comandos do sistema operacional e de lista incompleta de entradas proibidas, que impacta o mecanismo de filtragem do ambiente de execução no host e pode permitir executar ou persistir ações além da autorização pretendida pelo chamador.
  • GHSA-9969-8g9h-rxwm (pontuação CVSS: 8,8) — Uma vulnerabilidade de injeção de comandos do sistema operacional e de lista incompleta de entradas proibidas, que impacta o mecanismo de filtragem do ambiente de execução no host e pode permitir executar ou persistir ações além da autorização pretendida pelo chamador.
  • GHSA-575v-8hfq-m3mc (pontuação CVSS: 8,4) — Uma vulnerabilidade de path traversal (travessia de diretórios) e seguimento de links simbólicos que pode permitir que montagens de bind em sandbox contornem as verificações da lista de bloqueio de diretórios pai e executem ações que deveriam ter sido protegidas por checagens mais fortes de autorização ou política.

Todas as três falhas foram corrigidas na versão 2026.6.6 do OpenClaw.

Em uma série de avisos divulgados na semana passada, os mantenedores do OpenClaw afirmaram que "o impacto prático depende da configuração do operador e se entradas de menor confiança podem alcançar esse caminho".

No entanto, o pesquisador de segurança Chinmohan Nayak, creditado por descobrir e reportar os problemas, afirmou em um relatório compartilhado com o The Hacker News que elas podem ser usadas para disparar a execução de código no host a partir de uma mensagem externa enviada pelo WhatsApp.

Diferentemente das vulnerabilidades da Claw Chain divulgadas pela Cyera em maio, os bugs recém-identificados não exigem que o atacante estabeleça um ponto de apoio prévio para extrair dados sensíveis, plantar um backdoor persistente, obter execução remota arbitrária de código e facilitar um escape para o host.

"getBlockedReasonForSourcePath() verifica se o caminho de origem está sob um caminho bloqueado", explicou o pesquisador sobre a GHSA-575v-8hfq-m3mc. "Mas nunca verifica o inverso — se um caminho bloqueado está sob o caminho de origem (bypass do diretório pai)."

Especificamente, a lista de bloqueio de bind mounts bloqueia diretórios como "~/.ssh", "~/.aws" e "~/.gnupg", mas permite montar o diretório pai "/home" ou "/var", minando efetivamente os bloqueios individuais.

"Monte o /home no seu contêiner e você pode ler as chaves SSH (Secure Shell), credenciais da AWS (Amazon Web Services) e segredos GPG (GNU Privacy Guard) de todos os usuários", disse Nayak. "Monte o /var e você obtém o socket do Docker — o que significa escape completo do host de dentro da 'sandbox'."

Além de atualizar o OpenClaw para a versão mais recente, é recomendável ativar o modo sandbox para todas as sessões não principais, remover "exec" da lista de permissões de ferramentas para agentes voltados a canais e monitorar comandos git clone que contenham o helper de protocolo externo "ext::", que pode ser abusado para executar comandos arbitrários do sistema.

"Antes de atualizar, restrinja o recurso afetado a operadores confiáveis ou desative-o quando não for necessário", disse o OpenClaw. "Como hardening geral, mantenha as listas de permissão de canais e ferramentas restritas, evite compartilhar um Gateway entre usuários mutuamente não confiáveis e desative o recurso afetado quando ele não for necessário."

Article The Hacker News thehackernews.com