OpenClaw ha solucionado un problema de seguridad de alta gravedad que, si se hubiera explotado con éxito, podría haber permitido que un sitio web malicioso se conectara a un agente de inteligencia artificial (IA) que se ejecuta localmente y tomara el control.

«Nuestra vulnerabilidad reside en el sistema central mismo: sin complementos, sin mercado, sin extensiones instaladas por el usuario, solo la puerta de enlace OpenClaw, que se ejecuta exactamente como está documentado», Oasis Security dicho en un informe publicado esta semana.

La falla ha sido nombrada en código. GarraJacked por la empresa de ciberseguridad.

El ataque asume el siguiente modelo de amenaza: un desarrollador tiene OpenClaw configurado y ejecutándose en su computadora portátil, con su puertaun servidor WebSocket local, vinculado a localhost y protegido por una contraseña. El ataque se activa cuando el desarrollador llega a un sitio web controlado por un atacante mediante ingeniería social o algún otro medio.

La secuencia de infección sigue los pasos siguientes:

• JavaScript malicioso en la página web abre una conexión WebSocket al host local en el puerto de puerta de enlace de OpenClaw.
• El script aplica fuerza bruta a la contraseña de la puerta de enlace aprovechando un mecanismo de limitación de velocidad que falta.
• Después de una autenticación exitosa con permisos de nivel de administrador, el script se registra sigilosamente como un dispositivo confiable, que la puerta de enlace aprueba automáticamente sin ningún aviso del usuario.
• El atacante obtiene control total sobre el agente de IA, lo que le permite interactuar con él, volcar datos de configuración, enumerar los nodos conectados y leer registros de aplicaciones.

«Cualquier sitio web que visite puede abrir uno en su host local. A diferencia de las solicitudes HTTP normales, el navegador no bloquea estas conexiones entre orígenes», dijo Oasis Security. «Entonces, mientras navega por cualquier sitio web, JavaScript que se ejecuta en esa página puede abrir silenciosamente una conexión a su puerta de enlace OpenClaw local. El usuario no ve nada».

«Esa confianza fuera de lugar tiene consecuencias reales. La puerta de enlace relaja varios mecanismos de seguridad para las conexiones locales, incluida la aprobación silenciosa de nuevos registros de dispositivos sin avisar al usuario. Normalmente, cuando se conecta un nuevo dispositivo, el usuario debe confirmar el emparejamiento. Desde localhost, es automático».

Tras una divulgación responsable, OpenClaw impulsó una solución en menos de 24 horas con versión 2026.2.25 publicado el 26 de febrero de 2026. Se recomienda a los usuarios que apliquen las últimas actualizaciones lo antes posible, auditen periódicamente el acceso otorgado a los agentes de IA y apliquen controles de gobernanza adecuados para identidades no humanas (también conocidas como agentes).

El desarrollo se produce en medio de un escrutinio de seguridad más amplio del ecosistema OpenClaw, principalmente debido al hecho de que los agentes de IA tienen acceso arraigado a sistemas dispares y la autoridad para ejecutar tareas a través de herramientas empresariales, lo que lleva a un radio de explosión significativamente mayor en caso de verse comprometidos.

Informes de Bitsight y Confianza neuronal han detallado cómo las instancias de OpenClaw que se dejan conectadas a Internet representan una superficie de ataque ampliada, con cada servicio integrado ampliando aún más el radio de explosión y pueden transformarse en un arma de ataque incorporando inyecciones rápidas en el contenido (por ejemplo, un correo electrónico o un mensaje de Slack) procesado por el agente para ejecutar acciones maliciosas.

La divulgación se produce cuando OpenClaw también parchó una vulnerabilidad de envenenamiento de registros que permitía a los atacantes escribir contenido malicioso para registrar archivos a través de solicitudes WebSocket en una instancia de acceso público en el puerto TCP 18789.

Dado que el agente lee sus propios registros para solucionar ciertas tareas, un actor de amenazas podría abusar de la laguna de seguridad para incorporar inyecciones indirectas, lo que tendría consecuencias no deseadas. El asunto fue abordado en versión 2026.2.13que se envió el 14 de febrero de 2026.

«Si el texto inyectado se interpreta como información operativa significativa en lugar de una entrada no confiable, podría influir en las decisiones, sugerencias o acciones automatizadas», Eye Security dicho. «Por lo tanto, el impacto no sería una ‘adquisición instantánea’, sino más bien: manipulación del razonamiento del agente, influencia en los pasos de solución de problemas, posible divulgación de datos si el agente es guiado para revelar el contexto y mal uso indirecto de las integraciones conectadas».

En las últimas semanas, también se ha descubierto que OpenClaw es susceptible a múltiples vulnerabilidades (CVE-2026-25593, CVE-2026-24763, CVE-2026-25157, CVE-2026-25475, CVE-2026-26319, CVE-2026-26322, CVE-2026-26329), que varían de gravedad moderada a alta, y que podrían dar lugar a la ejecución remota de código, inyección de comandos, falsificación de solicitudes del lado del servidor (SSRF), omisión de autenticación y cruce de rutas. Las vulnerabilidades han sido abordadas en las versiones de OpenClaw. 2026.1.20, 2026.1.29, 2026.2.1, 2026.2.2y 2026.2.14.

«A medida que los marcos de agentes de IA se vuelven más frecuentes en los entornos empresariales, el análisis de seguridad debe evolucionar para abordar tanto las vulnerabilidades tradicionales como las superficies de ataque específicas de la IA», afirmó Endor Labs.

En otros lugares, una nueva investigación ha demostrado que las habilidades maliciosas cargadas en ClawHub, un mercado abierto para descargar habilidades de OpenClaw, se están utilizando como conductos para entregar una nueva variante de Atomic Stealer, un ladrón de información de macOS desarrollado y alquilado por un actor de delitos cibernéticos conocido como Araña de galleta.

«La cadena de infección comienza con un SKILL.md normal que instala un requisito previo», Trend Micro dicho. «La habilidad parece inofensiva en la superficie e incluso fue etiquetada como benigna en VirusTotal. Luego, OpenClaw va al sitio web, busca las instrucciones de instalación y continúa con la instalación si el LLM decide seguir las instrucciones».

Las instrucciones alojadas en el sitio web «openclawcli.vercel[.]app» incluye un comando malicioso para descargar una carga útil de ladrón desde un servidor externo («91.92.242[.]30») y ejecútelo.

Los cazadores de amenazas también han señalado una nueva campaña de entrega de malware en el que se identificó a un actor de amenazas con el nombre @liuhui1010, que dejó comentarios en páginas legítimas de listas de habilidades, instando a los usuarios a ejecutar explícitamente un comando que proporcionaron en la aplicación Terminal si la habilidad «no funciona en macOS».

El comando está diseñado para recuperar Atomic Stealer de «91.92.242[.]30», una dirección IP previamente documentada por Koi Security y OpenSourceMalware para distribuir el mismo malware a través de habilidades maliciosas cargadas en ClawHub.

Es más, un análisis reciente de 3.505 habilidades de ClawHub realizado por la empresa de seguridad de IA Straiker ha descubierto no menos de 71 programas maliciosos, algunos de los cuales se hacían pasar por herramientas de criptomonedas legítimas pero contenían funciones ocultas para redirigir fondos a billeteras controladas por actores de amenazas.

Otras dos habilidades, bob-p2p-beta y runware, se han atribuido a una estafa de criptomonedas de múltiples capas que emplea una cadena de ataque de agente a agente dirigida al ecosistema de agentes de IA. Las habilidades se han atribuido a un actor de amenazas que opera bajo los alias «26medias» en ClawHub y «BobVonNeumann» en Moltbook y X.

«BobVonNeumann se presenta como un agente de IA en Moltbook, una red social diseñada para que los agentes interactúen entre sí», dijeron los investigadores Yash Somalkar y Dan Regalado. «Desde esa posición, promueve sus propias habilidades maliciosas directamente a otros agentes, explotando la confianza que los agentes están diseñados para extenderse entre sí de forma predeterminada. Es un ataque a la cadena de suministro con una capa de ingeniería social construida encima».

Sin embargo, lo que hace bob-p2p-beta es instruir a otros agentes de inteligencia artificial para que almacenen las claves privadas de la billetera Solana en texto sin formato, compren tokens $BOB sin valor en pump.fun y enruten todos los pagos a través de una infraestructura controlada por el atacante. La segunda habilidad pretende ofrecer una herramienta de generación de imágenes benigna para generar credibilidad del desarrollador.

Dado que ClawHub se está convirtiendo en un nuevo terreno fértil para los atacantes, se recomienda a los usuarios auditar las habilidades antes de instalarlas, evitar proporcionar credenciales y claves a menos que sea esencial y monitorear el comportamiento de las habilidades.

Los riesgos de seguridad asociados con los tiempos de ejecución de agentes autohospedados como OpenClaw también han llevado a Microsoft a emitir un aviso, advirtiendo que la implementación sin vigilancia podría allanar el camino para la exposición/exfiltración de credenciales, modificación de la memoria y compromiso del host si se puede engañar al agente para que recupere y ejecute código malicioso, ya sea a través de habilidades envenenadas o inyecciones rápidas.

«Debido a estas características, OpenClaw debe tratarse como una ejecución de código no confiable con credenciales persistentes», dijo el equipo de investigación de seguridad de Microsoft Defender. dicho. «No es apropiado ejecutarlo en una estación de trabajo personal o empresarial estándar».

«Si una organización determina que OpenClaw debe ser evaluado, debe implementarse solo en un entorno completamente aislado, como una máquina virtual dedicada o un sistema físico separado. El tiempo de ejecución debe usar credenciales dedicadas y sin privilegios y acceder solo a datos no confidenciales. El monitoreo continuo y un plan de reconstrucción deben ser parte del modelo operativo».

Una nueva investigación ha descubierto que se podría abusar de las claves API de Google Cloud, generalmente designadas como identificadores de proyecto con fines de facturación, para autenticarse en puntos finales sensibles de Gemini y acceder a datos privados.

Los hallazgos provienen de Truffle Security, que descubrió casi 3.000 claves API de Google (identificadas por el prefijo «AIza») incrustadas en el código del lado del cliente para proporcionar servicios relacionados con Google, como mapas incrustados en sitios web.

«Con una clave válida, un atacante puede acceder a los archivos cargados, a los datos almacenados en caché y cargar el uso de LLM a su cuenta», dijo el investigador de seguridad Joe Leon. dichoañadiendo las claves «ahora también se autentican en Gemini aunque nunca fueron destinadas a ello».

El problema ocurre cuando los usuarios habilitan la API de Gemini en un proyecto de Google Cloud (es decir, API de lenguaje generativo), lo que hace que las claves de API existentes en ese proyecto, incluidas aquellas a las que se puede acceder a través del código JavaScript del sitio web, obtengan acceso subrepticio a los puntos finales de Gemini sin ninguna advertencia o aviso.

Esto permite efectivamente que cualquier atacante que raspe sitios web obtenga dichas claves API y las utilice con fines nefastos y robo de cuotas, incluido el acceso a archivos confidenciales a través de los puntos finales /files y /cachedContents, así como realizar llamadas a la API Gemini, acumulando enormes facturas para las víctimas.

Además, Truffle Security descubrió que la creación de una nueva clave API en Google Cloud tiene como valor predeterminado «Sin restricciones», lo que significa que es aplicable para todas las API habilitadas en el proyecto, incluido Gemini.

«El resultado: miles de claves API que se implementaron como tokens de facturación benignos ahora son credenciales de Gemini activas en la Internet pública», dijo Leon. En total, la compañía dijo que encontró 2.863 claves activas accesibles en la Internet pública, incluido un sitio web asociado con Google.

La divulgación se produce cuando Quokka publicó un informe similar, en el que encontró más de 35.000 claves API únicas de Google integradas en su análisis de 250.000 aplicaciones de Android.

«Más allá del posible abuso de costos a través de solicitudes automatizadas de LLM, las organizaciones también deben considerar cómo los puntos finales habilitados para IA podrían interactuar con mensajes, contenido generado o servicios en la nube conectados de manera que amplíen el radio de explosión de una clave comprometida», dijo la empresa de seguridad móvil. dicho.

«Incluso si no se puede acceder a datos directos del cliente, la combinación de acceso a inferencia, consumo de cuotas y posible integración con recursos más amplios de Google Cloud crea un perfil de riesgo que es materialmente diferente del modelo de identificador de facturación original en el que confiaron los desarrolladores».

Aunque inicialmente se consideró que el comportamiento era intencionado, desde entonces Google intervino para solucionar el problema.

«Somos conscientes de este informe y hemos trabajado con los investigadores para abordar el problema», dijo un portavoz de Google a The Hacker News por correo electrónico. «Proteger los datos y la infraestructura de nuestros usuarios es nuestra principal prioridad. Ya hemos implementado medidas proactivas para detectar y bloquear claves API filtradas que intentan acceder a la API de Gemini».

Actualmente no se sabe si este problema alguna vez fue explotado en la naturaleza. Sin embargo, en un publicación en Reddit publicado hace dos días, un usuario afirmó que una clave API de Google Cloud «robada» resultó en cargos de $82,314.44 entre el 11 y el 12 de febrero de 2026, frente a un gasto regular de $180 por mes.

Nos comunicamos con Google para obtener más comentarios y actualizaremos la historia si recibimos una respuesta.

Se recomienda a los usuarios que hayan configurado proyectos de Google Cloud que verifiquen sus API y servicios, y verifiquen si las API relacionadas con la inteligencia artificial (IA) están habilitadas. Si están habilitadas y son de acceso público (ya sea en JavaScript del lado del cliente o registradas en un repositorio público), asegúrese de que las claves estén rotadas.

«Empiece primero con las claves más antiguas», dijo Truffle Security. «Es más probable que se hayan implementado públicamente bajo la antigua guía de que las claves API se pueden compartir de forma segura y luego obtuvieron privilegios de Gemini de manera retroactiva cuando alguien de su equipo habilitó la API».

«Este es un gran ejemplo de cómo el riesgo es dinámico y cómo las API pueden tener permisos excesivos después del hecho», dijo Tim Erlin, estratega de seguridad de Wallarm, en un comunicado. «Las pruebas de seguridad, el escaneo de vulnerabilidades y otras evaluaciones deben ser continuas».

«Las API son complicadas en particular porque los cambios en sus operaciones o los datos a los que pueden acceder no son necesariamente vulnerabilidades, pero pueden aumentar directamente el riesgo. La adopción de IA que se ejecuta en estas API y su uso solo acelera el problema. Encontrar vulnerabilidades no es suficiente para las API. Las organizaciones tienen que perfilar el comportamiento y el acceso a los datos, identificar anomalías y bloquear activamente la actividad maliciosa».

Anthropic respondió el viernes después de que el secretario de Defensa de Estados Unidos, Pete Hegseth, ordenara al Pentágono que designara a la nueva inteligencia artificial (IA) como un «riesgo para la cadena de suministro».

«Esta acción sigue a meses de negociaciones que llegaron a un punto muerto sobre dos excepciones que solicitamos al uso legal de nuestro modelo de IA, Claude: la vigilancia interna masiva de los estadounidenses y las armas totalmente autónomas», dijo la compañía. dicho.

«Ninguna intimidación o castigo por parte del Departamento de Guerra cambiará nuestra posición sobre la vigilancia interna masiva o las armas totalmente autónomas».

En una publicación en las redes sociales sobre Truth Social, el presidente de los Estados Unidos, Donald Trump dicho Ordenaba a todas las agencias federales que eliminaran gradualmente el uso de tecnología Anthropic en los próximos seis meses. Una publicación X posterior de Hegseth ordenó que todos los contratistas, proveedores y socios que hicieran negocios con el ejército estadounidense cesaran cualquier «actividad comercial con Anthropic» con efecto inmediato.

«Junto con la directiva del Presidente para que el Gobierno Federal cese todo uso de la tecnología de Anthropic, estoy ordenando al Departamento de Guerra que designe a Anthropic como un riesgo para la seguridad nacional en la cadena de suministro», dijo Hegseth. escribió.

La designación se produce después de semanas de negociaciones entre el Pentágono y Anthropic sobre el uso de sus modelos de IA por parte del ejército estadounidense. En una publicación publicada esta semana, la empresa argumentó que sus contratos no deberían facilitar la vigilancia interna masiva o el desarrollo de armas autónomas.

«Apoyamos el uso de la IA para misiones legales de inteligencia y contrainteligencia extranjeras», señaló Anthropic. «Pero utilizar estos sistemas para una vigilancia nacional masiva es incompatible con los valores democráticos. La vigilancia masiva impulsada por la IA presenta riesgos graves y novedosos para nuestras libertades fundamentales».

La compañía también destacó la posición del Departamento de Guerra de EE. UU. (DoW) de que solo trabajará con compañías de IA que permitan «cualquier uso legal» de la tecnología, eliminando al mismo tiempo cualquier salvaguardia que pueda existir, como parte de los esfuerzos para construir una fuerza de guerra «primero la IA» y reforzar la seguridad nacional.

«La diversidad, la equidad y la inclusión y la ideología social no tienen cabida en el DoW, por lo que no debemos emplear modelos de IA que incorporen un ‘ajuste’ ideológico que interfiera con su capacidad de proporcionar respuestas objetivamente veraces a las solicitudes de los usuarios», se indica en un memorando. emitido por el Pentágono lee el mes pasado.

«El Departamento también debe utilizar modelos libres de restricciones de políticas de uso que puedan limitar las aplicaciones militares legales».

En respuesta a la designación, Anthropic la describió como «legalmente errónea» y dijo que sentaría un precedente peligroso para cualquier empresa estadounidense que negocie con el gobierno. También señaló que una designación de riesgo de la cadena de suministro según 10 USC 3252 solo puede extenderse al uso de Claude como parte de contratos DoW, y que no puede afectar el uso de Claude para servir a otros clientes.

Cientos de empleados de Google y OpenAI han firmó una carta abierta instando a sus empresas a apoyar a Anthropic en su enfrentamiento con el Pentágono por las aplicaciones militares de herramientas de inteligencia artificial como Claude.

El punto muerto La relación entre Anthropic y el gobierno de EE. UU. se produce cuando el director ejecutivo de OpenAI, Sam Altman, dijo que OpenAI llegó a un acuerdo con el Departamento de Defensa de EE. UU. (DoD) para implementar sus modelos en su red clasificada. También pidió al Departamento de Defensa que extendiera esos términos a todas las empresas de inteligencia artificial.

«La seguridad de la IA y la amplia distribución de beneficios son el núcleo de nuestra misión. Dos de nuestros principios de seguridad más importantes son la prohibición de la vigilancia masiva nacional y la responsabilidad humana por el uso de la fuerza, incluidos los sistemas de armas autónomos», Altman dicho en una publicación en X. «El Departamento de Guerra está de acuerdo con estos principios, los refleja en leyes y políticas, y los incluimos en nuestro acuerdo».