Investigadores revelaron una vulnerabilidad en OpenClaw que permitía a sitios web maliciosos tomar control de agentes locales de inteligencia artificial y acceder a información sensible. El alcance e impacto real del fallo varía según las configuraciones y versiones afectadas. Hay un llamado a actualizar a la versión 2026.2.26 o posteriores.
Investigadores de seguridad de la firma Oasis Security revelaron una vulnerabilidad bautizada como “Clawjacked” la que permite a páginas web maliciosas interferir con agentes de inteligencia artificial que se ejecutan localmente mediante OpenClaw. El problema, según el reporte técnico, radicaba en la forma en que el framework gestionaba solicitudes provenientes del navegador, lo que abría la puerta a que un sitio especialmente diseñado enviara instrucciones no autorizadas al agente de IA.
De acuerdo con la investigación difundida en distintos medios especializados, el fallo puede ser explotado simplemente con la visita de una víctima a una página web maliciosa mientras tenga activo su agente local de IA. El sitio, aprovechando debilidades en los controles de origen cruzado y autenticación, permite enviar comandos al entorno de OpenClaw y desencadenar acciones sin el consentimiento explícito del usuario.
Los investigadores de Oasis Security describieron que la vulnerabilidad permitía secuestrar agentes de IA para ejecutar tareas arbitrarias, incluida la lectura de archivos locales o la extracción de datos sensibles accesibles para el agente. En escenarios de prueba, se demostró la posibilidad de acceder a documentos almacenados en el equipo o a información vinculada a credenciales, dependiendo de los permisos concedidos.
Sin embargo, los investigadores matizaron que el impacto concreto de la acción depende de múltiples factores. Algunos reportes subrayan que la explotación requería que el agente estuviera en ejecución y que el usuario visitara activamente el sitio malicioso. Otros destacan que el alcance del acceso estaba limitado por los permisos configurados en cada instalación de OpenClaw, lo que significa que no todos los entornos son igualmente vulnerables.
El problema técnico estaría relacionado con la ausencia de validaciones adecuadas en el servicio local que escucha solicitudes HTTP para interactuar con el agente. Al no restringir correctamente el origen de las peticiones, el sistema podía aceptar instrucciones provenientes de dominios externos, creando un escenario similar a ataques de tipo CSRF (Cross-Site Request Forgery), pero aplicado a agentes de IA locales.
Tras la divulgación, la cual fue reportada oportunamente a los desarrolladores de OpenClaw, estos habrían implementado medidas para reforzar la autenticación y limitar el acceso desde navegadores, reduciendo el riesgo de explotación. De todas formas, las recomendaciones incluyen implementar la actualización a la versión corregida, restringir accesos innecesarios y evitar ejecutar agentes con permisos excesivos.
Mientras algunas publicaciones de sitios especializados de ciberseguridad enfatizan el potencial del fallo para facilitar el robo de datos, otras matizan que se trata de un riesgo condicionado al contexto de uso y configuración. En lo que sí hay coincidencia por todos los análisis, es que el incidente refleja el desafío emergente de la seguridad de los agentes de IA locales que interactúan con navegadores y servicios web, especialmente cuando estos agentes ganan autonomía al integrarse con sistemas locales, lo que amplía la superficie de ataque.