Una vulnerabilidad grave ha puesto en riesgo a usuarios de OpenClaw, el asistente personal de inteligencia artificial que se ejecuta localmente y que en pocos meses ganó una comunidad muy activa. El fallo, registrado como CVE-2026-25253 y con una puntuación CVSS alta, permite que un atacante robe el token de autenticación de una sesión y lo use para tomar el control del “gateway” local, lo que puede traducirse en ejecución remota de código con un solo clic. Para ver la ficha oficial del CVE consulte la entrada en la base de datos del NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-25253.
El origen del problema está en cómo la interfaz de control de OpenClaw maneja la conexión WebSocket al gateway local. Según la nota de seguridad publicada por el propio proyecto, la interfaz acepta sin validar un parámetro usado para construir la URL del gateway y, además, intenta conectarse automáticamente al cargar. Esa conducta hace que, si un usuario autenticado visita un enlace especialmente diseñado o una página maliciosa, el navegador pueda enviar el token almacenado en la carga útil de la conexión WebSocket hacia servidores controlados por el atacante. Puede leer la explicación técnica en el aviso de seguridad del repositorio: https://github.com/openclaw/openclaw/security/advisories/GHSA-g8p2-7wf7-98mq.
El investigador que reportó la falla, Mav Levin de depthfirst, mostró cómo esa extracción de token encadena fácilmente otras acciones maliciosas: con un token que tiene privilegios de operador se puede deshabilitar las confirmaciones de ejecución, cambiar la configuración para que las herramientas de shell se ejecuten en el host en lugar de dentro de un contenedor, y finalmente invocar un comando que termina ejecutándose en la máquina local. Levin detalla el proceso en su análisis técnico, donde demuestra que basta con que la víctima abra una página para que el exploit se dispare en milisegundos: https://depthfirst.com/post/1-click-rce-to-steal-your-moltbot-data-and-keys.
Un aspecto especialmente preocupante es que la falla funciona incluso cuando el servicio está configurado para escuchar solo en loopback (localhost). La razón es que el navegador del usuario inicia la conexión saliente hacia el gateway; esa conducta sortea las restricciones de red locales habituales y convierte al browser en un puente entre la página maliciosa y el servicio protegido. El creador del proyecto, Peter Steinberger, explica este vector y por qué es crítico corregirlo cuanto antes: https://openclaw.ai/blog/introducing-openclaw y el repositorio principal contienen contexto sobre diseño e implementación: https://github.com/openclaw/openclaw.
Los responsables del proyecto publicaron un parche que corrige la vulnerabilidad y recomiendan actualizar de inmediato a la versión corregida, lanzada el 30 de enero de 2026: v2026.1.29. Más allá de aplicar la actualización oficial, es prudente que los administradores y usuarios revoken cualquier token expuesto, reinicien los servicios afectados y revisen los registros en busca de actividad inusual. También conviene limitar la exposición del gateway a entornos de confianza y considerar medidas temporales como evitar el uso de la interfaz de control desde navegadores si no es estrictamente necesario.
Desde el punto de vista de la seguridad del software, esta incidencia subraya dos lecciones claras: validar siempre el origen y los parámetros que usan las conexiones WebSocket, y no confiar en conexiones automáticas que envíen credenciales o tokens sin una verificación explícita del usuario. Implementar comprobaciones del encabezado Origin, evitar el envío de tokens accesibles desde JavaScript y exigir confirmaciones interactivas para acciones privilegiadas son prácticas que mitigan este tipo de riesgo.
OpenClaw —antes conocido como Clawdbot o Moltbot— se presentó en noviembre de 2025 como una alternativa que ejecuta agentes de IA en el dispositivo del usuario y rápidamente acumuló una gran base de usuarios y estrellas en GitHub. Ese crecimiento explica por qué la vulnerabilidad ha tenido una repercusión rápida: proyectos con despliegues locales que manejan credenciales sensibles requieren controles de seguridad adicionales precisamente por el modelo de ejecución que defienden.
Si usas OpenClaw, la prioridad es actualizar a la versión 2026.1.29 lo antes posible y seguir las indicaciones oficiales del proyecto. Para más detalles técnicos y los parches oficiales consulta el advisory del repositorio y la entrada del investigador que descubrió el fallo: advisory y análisis de depthfirst. Mantener el software actualizado y aplicar principios de mínimo privilegio y validación de orígenes reduce significativamente la probabilidad de que incidentes así vuelvan a suceder.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...