EUROPA PRESS/CONTACTO/THOMAS FULLER
MADRID 8 abr. (Portaltic/EP) -
Os desenvolvedores do OpenClaw corrigiram uma vulnerabilidade de alto risco no sistema de emparelhamento que permitia que qualquer usuário com permissões básicas aprovasse um pedido para obter permissões de administrador, acessando e controlando todos os recursos da instância do OpenClaw à sua vontade.
O agente de inteligência artificial (IA) OpenClaw atua como um assistente pessoal avançado integrado a um computador, com capacidade de controlar o computador localmente para executar uma ampla variedade de tarefas, como gerenciar arquivos, e-mails ou navegar na internet e em aplicativos.
Ele ganhou popularidade em janeiro deste ano e, desde então, tem-se alertado sobre como a possibilidade de acessar todo o computador pode representar um risco diante de ciberataques ou extensões que ocultam 'malware'. Isso ocorre porque ele acessa recursos como arquivos de redes locais, contas pessoais ou sessões iniciadas como se fosse o próprio usuário, utilizando suas mesmas permissões.
Nesse contexto, o OpenClaw continua enfrentando riscos de segurança cibernética e, precisamente, seus desenvolvedores corrigiram uma vulnerabilidade crítica identificada recentemente que, classificada como CVE-2026-33579, permitia obter permissões de administrador e controlar a instância do OpenClaw à vontade.
A falha foi encontrada nas versões anteriores à atualização 2023.3.28 e possui uma pontuação de gravidade de até 9,9 em 10. Assim, conforme relatado pela empresa de IA Blink, que investigou a falha, trata-se de uma vulnerabilidade com “impacto prático grave”.
Especificamente, trata-se de um erro no processo de emparelhamento de dispositivos do OpenClaw, mais precisamente na rota de comando '/pair approve', uma vez que o sistema não verificava corretamente as permissões do usuário responsável por aprovar a solicitação, permitindo uma escalada de privilégios.
Ou seja, apenas os administradores deveriam poder autorizar dispositivos que solicitassem acessos elevados. No entanto, a vulnerabilidade concedia essa capacidade mais avançada a qualquer usuário com permissões básicas de emparelhamento. Portanto, um agente mal-intencionado com privilégios básicos poderia solicitar acesso de administrador e aprovar sua própria solicitação.
Como resultado, um invasor com acesso inicial limitado pode explorar essa vulnerabilidade para obter controle total do sistema, comprometendo a integridade, a confidencialidade e a disponibilidade das informações às quais essa instância tem acesso, bem como todos os serviços conectados e todas as funcionalidades.
Além disso, deve-se levar em conta que, conforme esclareceram os pesquisadores da Blink, 63% das 135.000 instâncias do OpenClaw expostas à Internet estavam sendo executadas sem autenticação. Portanto, nesses casos, os invasores não precisavam usar credenciais; bastava conectarem-se e atribuírem direitos básicos de emparelhamento.
Portanto, recomenda-se atualizar o OpenClaw para a versão 2023.3.28 para evitar a exploração dessa vulnerabilidade em equipamentos que utilizam esse agente. Embora os pesquisadores tenham apontado que se trata da sexta vulnerabilidade relacionada ao emparelhamento no OpenClaw nas últimas seis semanas, “um padrão que evidencia uma deficiência sistêmica”.
Esta notícia foi traduzida por um tradutor automático