Pesquisadores em cibersegurança revelaram uma campanha de falhas concatenadas no OpenClaw que, em conjunto, permitem desde o roubo de informações até a escalada de privilégios e a instalação de portas traseiras persistentes. Cyera chamou a este conjunto “Claw Chain”: quatro vulnerabilidades que, exploradas em sequência, permitem a um atacante entrar no sandbox do agente, extrair segredos, suplantar o proprietário do agente e finalmente modificar a configuração para se manter dentro do ambiente.
As falhas identificadas incluem duas condições de carreira tipo TOCTOU que possibilitam escrever ou ler fora da árvore de montagem prevista (CVE-2026-44112 e CVE-2026-44113), uma validação incompleta de entradas que pode ser contornada por expansões de shell em heredocs (CVE-2026-44115) e um controle de acesso defeituoso que confia em um cabeçalho controlado pelo cliente chamado senderIsOwner, o que permite a clientes não proprietários escalar seus privilégios (CVE-2026-44118). Cada uma tem um impacto sério separado, mas o risco real vem da cadeia: código malicioso consegue execução no sandbox, extrai credenciais e arquivos sensíveis, obtém tokens de “propietário” e finalmente planta mecanismos de persistência e backdoors.
Que um adversário use o próprio agente para mover-se dentro do ambiente faz com que a atividade pareça legítima diante de controles tradicionais: as chamadas, acessos a arquivos e mudanças de configuração beneficiam da confiança já concedida ao agente, o que amplia o raio de dano e complica a detecção. Por isso é essencial abordar tanto a remediação técnica como a higiene operacional para reduzir a janela de exposição e o impacto potencial.
OpenClaw publicou correções e mitigações na versão 2026.4.22 após a divulgação responsável; o descubridor acreditado é Vladimir Tokarev. Para entender tecnicamente as categorias de falha em jogo, convém rever recursos públicos sobre condições de carreira e validação de entradas, por exemplo, a ficha do MITRE sobre TOCTOU e CWE-367 https://cwe.mitre.org/data/definitions/367.html, e as notas de Cyera sobre o achado e a classificação da ameaça https://www.cyera.com.
Se você administra instâncias com o OpenClaw, a prioridade imediata é atualizar para a versão alterada. Além de atualizar, atua em várias frentes: revoga e retorna a emitir credenciais e tokens que poderiam ter sido expostos, restringe a instalação de plugins ou integrações externas até verificar sua integridade, e aplica controles de segmentação para limitar quais recursos podem atingir os agentes. Revi logs e telemetria em busca de comportamentos atípicos do agente —leituras massivas de arquivos sensíveis, escrituras fora de rotas permitidas ou mudanças em tarefas programadas — porque a cadeia procurada pelo atacante imita operações legítimas.
Do ponto de vista do desenvolvimento e da arquitetura, há lições claras: não confies em bandeiras controladas pelo cliente para decisões de autorização; deriva o status de proprietário de Tokens autenticados e contextos do servidor, como já corrigiram os responsáveis ao emitir tokens separados para owner e non-owner. Evita TOCTOU com operações atômicas, bloqueio de arquivos ou verificações que não dependam de janelas de tempo inseguros, e sanitiza e restringe qualquer expansão de shell em entradas complexas como heredocs.
Para detecção e resposta, incorpora controles que não só busquem assinaturas, mas padrões de comportamento anormais do agente: elevação súbita de privilégios, acesso a segredos fora do alcance previsto ou mudanças frequentes na configuração do runtime. Complementa com EDR/EDR-like, monitoramento de integridade de arquivos e políticas de leiast privilege no runtime do agente. Se você suspeitar de compromisso, faça uma contenção que inclua isolar o agente, extração de artefatos para forense e restauração de imagens conhecidas boas após a rotação de segredos.
Claw Chain é um lembrete de que os agentes de gestão e automação são objetivos valiosos: atuam com privilégios e seu comportamento normal pode ocultar uma exploração. Actualiza, audita e restringe, e considera este caso como um exemplo para reforçar a validação de entradas e a separação estrita de tokens e responsabilidades em qualquer arquitetura baseada em agentes.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...