OpenClaw corrige vulnerabilidade grave que concede acesso administrativo

Os desenvolvedores da popular ferramenta de IA OpenClaw lançaram correções para três vulnerabilidades de alta gravidade, incluindo uma que permitia a atacantes com privilégios básicos de pareamento obter silenciosamente controle administrativo total. A falha, registrada como CVE-2026-33579 e com classificação de gravidade de até 9,8 de 10, gerou alertas entre especialistas em segurança. Milhares de instâncias expostas podem ter sido comprometidas sem que os usuários soubessem.

O OpenClaw, uma ferramenta de agentes de IA lançada em novembro que acumulou 347.000 estrelas no GitHub, permite que os usuários automatizem tarefas como organização de arquivos, pesquisa e compras online, concedendo-lhe amplo acesso a computadores, aplicativos como Telegram, Discord e Slack, arquivos de rede e contas de usuário. No início desta semana, seus desenvolvedores emitiram patches de segurança abordando três problemas críticos em meio a avisos contínuos de profissionais de segurança sobre os riscos de tais sistemas de IA autônomos controlarem recursos sensíveis. Um executivo da Meta baniu a ferramenta de notebooks de trabalho no início deste ano, citando sua imprevisibilidade como um risco de violação, com outros gerentes emitindo diretrizes semelhantes. > “O impacto prático é grave”, escreveram pesquisadores da Blink, desenvolvedora de aplicativos de IA. “Um atacante que já possua o escopo operator.pairing — a permissão significativa mais baixa em uma implementação do OpenClaw — pode aprovar silenciosamente solicitações de pareamento de dispositivos que pedem o escopo operator.admin. Uma vez que essa aprovação é processada, o dispositivo invasor detém acesso administrativo total à instância do OpenClaw. Nenhum exploit secundário é necessário. Nenhuma interação do usuário é necessária além da etapa inicial de pareamento.” A CVE-2026-33579 originou-se de uma falha na função de pareamento do dispositivo, que não verificava as permissões da parte que aprovava, permitindo que solicitações bem formadas elevassem privilégios sem restrições. A Blink observou que 63% das 135.000 instâncias do OpenClaw expostas à internet digitalizadas no início deste ano operavam sem autenticação, permitindo que qualquer visitante da rede obtivesse acesso inicial de pareamento livremente. As correções chegaram no domingo, mas a listagem formal da CVE ocorreu na terça-feira, potencialmente dando aos atacantes uma janela de exploração de dois dias. Para organizações que usam o OpenClaw em toda a empresa, um dispositivo administrativo comprometido poderia acessar todos os dados conectados, roubar credenciais, executar comandos arbitrários e pivotar para outros serviços, resultando na tomada total da instância. Especialistas recomendam que os usuários revisem os logs de pareamento recentes e reavaliem os riscos versus benefícios da ferramenta.

Artigos relacionados

Illustration of a hacker exploiting Meta's AI chatbot to hijack Instagram accounts by changing email addresses and bypassing security.
Imagem gerada por IA

Meta patches ai chatbot flaw used to hijack instagram accounts

Reportado por IA Imagem gerada por IA

Hackers exploited Meta's AI support chatbot to take over Instagram accounts by tricking it into changing associated email addresses. The vulnerability allowed password resets without two-factor authentication after matching locations via VPN. Meta resolved the issue with an emergency patch on May 29.

A writer recently attached a physical robot arm to an OpenClaw AI agent for hands-on testing.

Reportado por IA

Windscribe has added native support for OpenClaw agentic AI in its VPN software, allowing autonomous AI agents to control VPN settings. The integration aims to separate AI-generated traffic from users' personal web activity, protecting home networks from potential issues. Company representatives described it as addressing a key privacy gap for AI users.

A critical Linux vulnerability known as CopyFail, tracked as CVE-2026-31431, allows attackers to gain root access on systems running kernels since 2017. Publicly released exploit code has heightened risks for data centers and personal devices. Ubuntu's infrastructure has been offline for over a day due to a DDoS attack, hampering security communications.

Reportado por IA

Linux stable kernel maintainer Greg Kroah-Hartman has started using an AI-assisted fuzzing tool in a branch named 'clanker' to test the kernel codebase. The tool has already prompted fixes for vulnerabilities in subsystems like ksmbd and SMB. Patches from this effort now cover areas including USB, HID, WiFi, and networking.

terça-feira, 09 de junho de 2026, 17:20h

Single errant character triggers high-severity Linux vulnerability

segunda-feira, 08 de junho de 2026, 12:50h

Microsoft packages hit with credential-stealing malware for second time

sábado, 23 de maio de 2026, 01:36h

Linux kernel flaw lets unprivileged users gain root access

sexta-feira, 15 de maio de 2026, 14:22h

Security researchers breach macOS using Anthropic AI tool

terça-feira, 14 de abril de 2026, 11:52h

Microsoft plans agentic AI features for Copilot

Este site usa cookies

Usamos cookies para análise para melhorar nosso site. Leia nossa política de privacidade para mais informações.
Recusar