Investigadores en ciberseguridad han revelado una campaña de fallos concatenados en OpenClaw que, en conjunto, permiten desde el robo de información hasta la escalada de privilegios y la instalación de puertas traseras persistentes. Cyera denominó a este conjunto “Claw Chain”: cuatro vulnerabilidades que, explotadas en secuencia, permiten a un atacante entrar en el sandbox del agente, extraer secretos, suplantar al propietario del agente y finalmente modificar la configuración para mantenerse dentro del entorno.
Las fallas identificadas incluyen dos condiciones de carrera tipo TOCTOU que posibilitan escribir o leer fuera del árbol de montaje previsto (CVE-2026-44112 y CVE-2026-44113), una validación incompleta de entradas que se puede eludir mediante expansiones de shell en heredocs (CVE-2026-44115) y un control de acceso defectuoso que confía en una cabecera controlada por el cliente llamada senderIsOwner, lo que permite a clientes no propietarios escalar sus privilegios (CVE-2026-44118). Cada una tiene un impacto serio por separado, pero el riesgo real viene de la cadena: código malicioso logra ejecución en el sandbox, extrae credenciales y archivos sensibles, obtiene tokens de “propietario” y finalmente planta mecanismos de persistencia y backdoors.
Que un adversario use el propio agente para moverse dentro del entorno hace que la actividad parezca legítima ante controles tradicionales: las llamadas, accesos a archivos y cambios de configuración se benefician de la confianza ya otorgada al agente, lo que amplía el radio de daño y complica la detección. Por eso es esencial abordar tanto la remediación técnica como la higiene operacional para reducir la ventana de exposición y el impacto potencial.
OpenClaw publicó correcciones y mitigaciones en la versión 2026.4.22 tras la divulgación responsable; el descubridor acreditado es Vladimir Tokarev. Para entender técnicamente las categorías de falla en juego conviene revisar recursos públicos sobre condiciones de carrera y validación de entradas, por ejemplo la ficha de MITRE sobre TOCTOU y CWE-367 https://cwe.mitre.org/data/definitions/367.html, y las notas de Cyera sobre el hallazgo y la clasificación de la amenaza https://www.cyera.com.
Si administras instancias con OpenClaw, la prioridad inmediata es actualizar a la versión parcheada. Además de actualizar, actúa en varias frentes: revoca y vuelve a emitir credenciales y tokens que pudieran haber sido expuestos, restringe la instalación de plugins o integraciones externas hasta verificar su integridad, y aplica controles de segmentación para limitar qué recursos pueden alcanzar los agentes. Revisa logs y telemetría en busca de comportamientos atípicos del agente —lecturas masivas de ficheros sensibles, escrituras fuera de rutas permitidas o cambios en tareas programadas— porque la cadena buscada por el atacante imita operaciones legítimas.
Desde la perspectiva del desarrollo y la arquitectura, hay lecciones claras: no confíes en banderas controladas por el cliente para decisiones de autorización; deriva el estatus de propietario desde tokens autenticados y contextos del servidor, como ya han corregido los responsables al emitir tokens separados para owner y non-owner. Evita TOCTOU con operaciones atómicas, bloqueo de ficheros o verificaciones que no dependan de ventanas de tiempo inseguros, y sanitiza y restringe cualquier expansión de shell en entradas complejas como heredocs.
Para detección y respuesta, incorpora controles que no solo busquen firmas, sino patrones de comportamiento anómalos del agente: elevación súbita de privilegios, acceso a secretos fuera del alcance previsto o cambios frecuentes en la configuración del runtime. Complementa con EDR/EDR-like, monitorización de integridad de ficheros y políticas de least privilege en el runtime del agente. Si sospechas compromiso, realiza una contención que incluya aislar el agente, extracción de artefactos para forense y restauración desde imágenes conocidas buenas tras la rotación de secretos.
Claw Chain es un recordatorio de que los agentes de gestión y automatización son objetivos valiosos: actúan con privilegios y su comportamiento normal puede ocultar una explotación. Actualiza, audita y restringe, y considera este caso como un ejemplo para reforzar la validación de entradas y la separación estricta de tokens y responsabilidades en cualquier arquitectura basada en agentes.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...