Una cadena de cuatro vulnerabilidades críticas descubiertas en OpenClaw, una de las plataformas de código abierto de crecimiento más rápido para agentes de IA autónomos, ha dejado unas 245.000 instancias de servidores accesibles públicamente expuestas a la explotación remota, el robo de credenciales y la instalación de puertas traseras persistentes.

Lanzado originalmente como “Clawdbot” a finales de 2025, OpenClaw conecta modelos de lenguaje extensos directamente con sistemas de archivos, aplicaciones SaaS, credenciales y entornos de ejecución.

Las empresas lo han adoptado rápidamente para la automatización de TI, canalizaciones de servicio al cliente e integraciones operativas con plataformas como Telegram, Discord y Microsoft Agent 365. Ese acceso amplio y privilegiado lo convierte en un objetivo excepcionalmente valioso.

El equipo de investigación de Cyera identificó las cuatro vulnerabilidades previamente no reveladas y las comunicó a los mantenedores de OpenClaw en abril de 2026. Las cuatro han sido parcheadas desde entonces.

Vulnerabilidades de la Cadena Claw en OpenClaw

• CVE-2026-44112 (CVSS 9.6 – Crítica): Una condición de carrera de tiempo de verificación/tiempo de uso (TOCTOU) en el sandbox de OpenShell permite a los atacantes redirigir las operaciones de escritura fuera del límite del sandbox, permitiendo la manipulación de la configuración y la colocación de puertas traseras persistentes en el host.
• CVE-2026-44115 (CVSS 8.8 – Alta): Una brecha entre la validación de comandos de OpenClaw y la ejecución del shell permite que las variables de entorno —incluidas claves API, tokens y credenciales— se filtren a través de heredocs sin comillas que parecen seguros en el momento de la validación.
• CVE-2026-44118 (CVSS 7.8 – Alta): OpenClaw confía ciegamente en una bandera de propiedad controlada por el cliente (senderIsOwner) sin hacer referencia cruzada con la sesión autenticada, lo que permite que un proceso local con un token de portador válido escale al control de nivel de propietario sobre la configuración de la puerta de enlace, la programación y la gestión de la ejecución.
• CVE-2026-44113 (CVSS 7.7 – Alta): El mismo patrón de condición de carrera TOCTOU en las operaciones de lectura permite a los atacantes intercambiar rutas de archivos validadas por enlaces simbólicos que apuntan fuera de la raíz de montaje permitida, exponiendo archivos del sistema y artefactos internos que el agente nunca debió acceder.

Aunque cada falla tiene su propio peso, su efecto combinado, denominado “Claw Chain” por Cyera, es mucho más alarmante.

Desde un único punto de apoyo, como un plugin malicioso, una inyección de prompts o una entrada externa comprometida, un atacante puede encadenar tres vulnerabilidades en paralelo:

1. Punto de apoyo – Obtener la ejecución de código dentro del sandbox de OpenShell a través de un plugin malicioso o inyección de prompts.
2. Exfiltración – Usar CVE-2026-44113 y CVE-2026-44115 para recolectar credenciales, secretos y archivos confidenciales.
3. Escalada de privilegios – Explotar CVE-2026-44118 para elevar al control de nivel de propietario del tiempo de ejecución del agente.
4. Persistencia – Desplegar CVE-2026-44112 para implantar puertas traseras y modificar el comportamiento futuro del agente.

Lo que hace que esta cadena sea especialmente peligrosa es que el atacante convierte los propios privilegios del agente de IA en un arma. Cada paso imita el comportamiento normal del agente, lo que hace que la detección sea significativamente más difícil para los controles de seguridad tradicionales.

Los escaneos de Shodan y ZoomEye a fecha de mayo de 2026 revelan aproximadamente 65.000 y 180.000 instancias de OpenClaw accesibles públicamente, respectivamente, sumando un total de aproximadamente 245.000 servidores expuestos.

Las empresas de servicios financieros, salud y sectores legales enfrentan el mayor riesgo, particularmente donde los flujos de trabajo del agente procesan PII (información de identificación personal), PHI (información de salud protegida) o credenciales privilegiadas.

Si tu organización ejecuta OpenClaw, deberías tratar esto como un aviso de Prioridad 1:

• Parchea inmediatamente aplicando las correcciones del 23 de abril de 2026 que cubren GHSA-5h3g-6xhh-rg6p, GHSA-wppj-c6mr-83jj, GHSA-r6xh-pqhr-v4xh y GHSA-x3h8-jrgh-p8jx.
• Rota todos los secretos — asume que cualquier variable de entorno o credencial alcanzable por los procesos de OpenClaw ya podría estar comprometida.
• Identifica instancias expuestas utilizando escaneos de Shodan o inventario de activos internos y colócalas detrás de controles de autenticación o firewall.
• Audita el acceso del agente y trata los despliegues de OpenClaw como identidades privilegiadas sujetas a los mismos controles de ciclo de vida que las cuentas de servicio.