Investigadores de Oasis Security han revelado una vulnerabilidad de alto impacto en OpenClaw, bautizada como ClawJacked, que permite a un sitio web malicioso conectarse en secreto al servicio local del asistente de IA, realizar ataques de fuerza bruta contra la cuenta de administrador y tomar el control completo del sistema. El fallo ha sido corregido en la versión 2026.2.26, publicada el 26 de febrero, y se recomienda encarecidamente a todos los usuarios actualizar de inmediato.
OpenClaw y los riesgos de los asistentes de IA self‑hosted en entornos corporativos
OpenClaw es un asistente de IA de código abierto y self‑hosted diseñado para que agentes autónomos puedan enviar mensajes, ejecutar comandos y orquestar tareas en múltiples plataformas. Desde su lanzamiento en noviembre de 2025, el proyecto ha ganado una fuerte tracción en la comunidad técnica, acumulando más de 240 000 estrellas en GitHub, lo que refleja su rápida adopción en proyectos de automatización y flujos DevOps.
Este tipo de plataformas suele tener acceso amplio a la infraestructura: credenciales, claves API, mensajería corporativa, sistemas CI/CD, servidores y estaciones de trabajo. En la práctica, comprometer OpenClaw equivale a comprometer el entorno donde está desplegado. En organizaciones que integran el asistente en sus procesos críticos, una brecha como ClawJacked puede traducirse en robo de datos, sabotaje de pipelines y movimientos laterales dentro de la red.
ClawJacked en detalle: explotación de WebSocket y seguridad en localhost
El núcleo del problema reside en el servicio gateway de OpenClaw, que por defecto escucha en localhost (127.0.0.1) y expone una interfaz WebSocket. Este patrón es frecuente en asistentes de IA locales: se asume que, al limitar el servicio a la máquina local, se obtiene un nivel razonable de aislamiento.
Sin embargo, el modelo de seguridad del navegador introduce un matiz crítico. La Same-Origin Policy (política de mismo origen) restringe la mayoría de las peticiones entre dominios, pero no bloquea las conexiones WebSocket hacia localhost. Como han señalado previamente guías de seguridad de proyectos como OWASP, un sitio web abierto en el navegador puede, mediante JavaScript, intentar establecer conexiones ws://127.0.0.1:puerto a servicios locales si acierta el puerto y el protocolo.
Fuerza bruta sin límites desde la interfaz loopback
OpenClaw incorporaba controles para mitigar el brute force, pero el tráfico procedente de 127.0.0.1 estaba explícitamente excluido de estas restricciones, con la intención de no entorpecer el trabajo de administradores y desarrolladores en sesiones locales de CLI. Esta excepción se convirtió en el vector principal de ClawJacked.
Un sitio malicioso abierto en el navegador del usuario podía ejecutar JavaScript para iniciar una conexión WebSocket contra el gateway local de OpenClaw y comenzar a probar credenciales de administrador a cientos de intentos por segundo, sin rate limiting, sin CAPTCHA y sin registros claros de actividad sospechosa. En este escenario, listas de contraseñas comunes se agotan en fracciones de segundo y diccionarios extensos en cuestión de minutos, lo que deja a las contraseñas humanas típicas prácticamente indefensas, especialmente si han aparecido en filtraciones previas.
Del acceso de administrador al compromiso total de la estación y la infraestructura
Una vez descubierto el password de administrador, el atacante podía registrar su propio dispositivo como confiable. El gateway de OpenClaw, por diseño, aprobaba automáticamente los emparejamientos provenientes de localhost, sin un paso adicional de confirmación por parte del usuario, lo que facilitaba una escalada rápida de privilegios.
Con acceso administrativo, el actor malicioso obtenía visibilidad total sobre el entorno OpenClaw: credenciales almacenadas, nodos conectados, registros de actividad, contenido de tareas y conversaciones. Además, podía instruir al agente de IA para:
- localizar y extraer información sensible desde el historial de diálogos;
- descargar archivos desde equipos y servidores vinculados;
- ejecutar comandos arbitrarios en los hosts emparejados mediante shell o herramientas de automatización.
En términos de riesgo, ClawJacked habilita una comprometida completa de la estación de trabajo y, en entornos corporativos, un punto de entrada eficaz hacia parte de la infraestructura interna, todo a partir de una única pestaña del navegador. Este patrón es coherente con otras familias de ataques a servicios en localhost y WebSocket documentados en la comunidad de seguridad.
Respuesta del proyecto OpenClaw y mitigación en la versión 2026.2.26
Oasis Security compartió con el equipo de OpenClaw un informe técnico detallado sobre ClawJacked y código de prueba de concepto siguiendo un proceso de responsible disclosure. La respuesta fue rápida: el parche se desarrolló y liberó en menos de 24 horas como parte del lanzamiento 2026.2.26.
Según las notas de la versión, la actualización endurece la validación de las conexiones WebSocket y añade nuevos mecanismos para limitar el abuso de conexiones loopback en ataques de fuerza bruta y secuestro de sesión. Entre los cambios más relevantes se incluyen una autenticación más estricta para conexiones locales y políticas de rate limiting revisadas, que ahora también se aplican a solicitudes originadas en 127.0.0.1.
Recomendaciones clave para asegurar asistentes de IA autoalojados
Los administradores de OpenClaw deben actualizar sin demora a la versión 2026.2.26 o superior, especialmente cuando el asistente se integra en procesos de negocio críticos o redes corporativas. Como medidas adicionales de defensa, es recomendable:
- Establecer una passphrase de administrador larga y única, evitando contraseñas reutilizadas o presentes en bases de datos de brechas conocidas.
- Restringir el acceso al gateway de OpenClaw mediante firewall, túneles seguros o un navegador dedicado que no se use para navegación general.
- Monitorizar logs de autenticación y alertar sobre patrones anómalos, incluso cuando el origen sea localhost.
- Aplicar el principio de mínimo privilegio en permisos, API keys y accesos otorgados a los agentes de IA.
- Segregar la infraestructura, alojando los servicios de IA en segmentos de red controlados, reduciendo el impacto de un compromiso.
El caso ClawJacked ilustra con claridad que ejecutar servicios en localhost no garantiza seguridad por defecto, especialmente cuando pueden ser alcanzados desde el navegador del usuario mediante WebSocket. A medida que los asistentes de IA self‑hosted se integran en cadenas de suministro de software y operaciones corporativas, resulta esencial revisar los modelos de amenaza, aplicar buenas prácticas de diseño seguro y mantener una política estricta de actualización. Anticiparse a este tipo de vulnerabilidades es la diferencia entre contar con un asistente de IA como aliado estratégico o verlo convertido en una herramienta más al servicio de un atacante.
