Una vulnerabilidad crítica de tipo zero-interaction (0-click) en OpenClaw expone a miles de desarrolladores a un compromiso completo de sus agentes de IA locales con solo visitar un sitio web malicioso. El fallo, identificado por investigadores de Oasis Security, permite a un atacante tomar control total del agente —incluyendo ejecución de comandos y exfiltración de datos— sin necesidad de plugins, extensiones o interacción del usuario. La actualización inmediata es obligatoria para cualquier entorno donde OpenClaw esté desplegado.

¿Qué es OpenClaw y por qué el impacto es crítico?

OpenClaw es un framework open source de agentes AI auto-hospedados (antes conocido como Clawdbot y MoltBot) que se ejecuta localmente en el equipo del desarrollador.

Su arquitectura permite:

• Integración con Slack y otras plataformas de mensajería

• Acceso a calendarios y herramientas de desarrollo

• Interacción con el sistema de archivos local

• Ejecución autónoma de tareas

El problema: ese mismo nivel de privilegio convierte cualquier bypass de autenticación en equivalente a un compromiso total del workstation.

Cómo funciona el ataque (cadena de explotación completa)

La vulnerabilidad se basa en el diseño del gateway WebSocket local de OpenClaw.

Arquitectura vulnerable

OpenClaw expone un WebSocket gateway en localhost, que actúa como capa de orquestación central. Los nodos conectados (apps macOS, iOS u otros dispositivos) se registran y exponen capacidades como:

• Ejecución de comandos del sistema

• Lectura de archivos

• Acceso a contactos

• Interacción con herramientas conectadas

Condición única de explotación

El ataque solo requiere:

Que el desarrollador visite un sitio web controlado por el atacante.

Paso a paso del exploit

1. La víctima abre un sitio malicioso en su navegador.

2. El JavaScript de la página abre una conexión WebSocket hacia localhost.

3. Los navegadores no bloquean conexiones WebSocket cross-origin hacia loopback.

4. El script fuerza (brute-force) la contraseña del gateway:

   • El rate limiting no aplica a conexiones localhost

   • Los intentos fallidos no se registran ni limitan

5. Una vez autenticado:

   • El sitio malicioso se registra como dispositivo confiable

   • El gateway aprueba automáticamente conexiones desde localhost

6. El atacante obtiene control administrativo completo del agente

Fallos de diseño que habilitaron el ataque

La vulnerabilidad combina tres supuestos erróneos:

Este patrón de ataque recuerda a vulnerabilidades históricas en herramientas de desarrollo que asumían que “localhost = trusted zone”.

Impacto real: ¿Qué puede hacer un atacante?

Con sesión autenticada, el atacante puede:

• Buscar claves API en historial de Slack

• Leer mensajes privados

• Exfiltrar archivos del sistema

• Ejecutar comandos shell arbitrarios

• Manipular herramientas conectadas

En un entorno típico de desarrollador, esto implica:

• Robo de credenciales cloud

• Compromiso de repositorios

• Movimiento lateral

• Escalada hacia infraestructura productiva

Los investigadores demostraron el exploit de extremo a extremo, incluyendo cracking del password del gateway e interacción remota con un agente activo desde una sesión de navegador independiente.

Mitigación inmediata (acción obligatoria)

1️⃣ Actualizar urgentemente

Actualizar a:

OpenClaw versión 2026.2.25 o superior

Esta versión corrige la vulnerabilidad crítica.

2️⃣ Inventariar instalaciones

En organizaciones:

• Identificar instancias oficiales

• Detectar instalaciones “shadow IT”

• Revisar agentes desplegados fuera del control de IT

3️⃣ Rotar credenciales

Revisar y revocar:

• API keys expuestas

• Tokens Slack

• Credenciales Git

• Accesos a servicios cloud

4️⃣ Gobernanza de agentes AI

Tratar los agentes AI como:

• Identidades privilegiadas

• Service accounts

• Usuarios con acceso administrativo

Implementar:

• RBAC formal

• Auditoría de actividad

• Registro centralizado

• Políticas de hardening

Recomendaciones para equipos DevOps y SRE

Dado tu perfil técnico, estas son medidas adicionales recomendadas:

• Bloquear conexiones WebSocket hacia localhost vía políticas del navegador corporativo

• Restringir binding de servicios locales a interfaces protegidas

• Implementar firewall local (pf, nftables, Windows Defender Firewall)

• Monitorizar procesos que abren sockets en loopback

• Integrar detección EDR para tráfico sospechoso localhost-originado

Lecciones estratégicas

Esta vulnerabilidad no es solo un bug: es un recordatorio crítico de que:

• Los agentes AI locales son nuevos “privileged execution surfaces”

• Localhost ya no es un perímetro de seguridad

• La automatización sin controles de identidad robustos introduce riesgo sistémico

La rápida respuesta del equipo de OpenClaw (patch en 24 horas) es destacable, pero en entornos empresariales se debe asumir que existen instancias sin parchear.

Conclusión

La vulnerabilidad 0-Click en OpenClaw demuestra que los agentes AI con acceso amplio al entorno del desarrollador deben tratarse como activos críticos. Un simple sitio web puede desencadenar un compromiso total del equipo si no se aplica el parche correspondiente.

Si tu organización utiliza OpenClaw, la actualización inmediata a la versión 2026.2.25 o superior no es opcional. Además, se recomienda revisar credenciales y establecer controles formales sobre identidades de agentes AI.

En seguridad moderna, los agentes autónomos no son herramientas auxiliares: son entidades privilegiadas que deben gestionarse con el mismo rigor que cualquier cuenta administrativa.