Uma grave vulnerabilidade foi descoberta no OpenClaw, uma assistente pessoal de IA de código aberto que opera localmente e se integra a diversos serviços e aplicativos. A falha, catalogada como CVE‑2026‑25253, permite a execução remota de código (RCE) com apenas um clique, sem exigir credenciais ou outras interações do usuário. O erro reside na forma como o componente Control UI interpreta parâmetros passados via URL. Ao confiar no valor fornecido em gatewayUrl, o sistema se conecta automaticamente ao servidor local do usuário, sem verificar sua origem, e envia um token de autenticação sensível.
Essa brecha abre caminho para um ataque conhecido como WebSocket cross-site hijacking, no qual um site malicioso engana o navegador da vítima para que se comunique com o OpenClaw local. Ao interceptar o token, o invasor consegue se autenticar como o próprio usuário e assumir controle total do sistema. Com o token em mãos, o atacante pode acessar a API interna do OpenClaw, desativar proteções como confirmações de segurança, alterar políticas de sandbox e até executar comandos diretamente no sistema operacional da vítima, transformando a brecha em um ataque de controle completo.
Segundo o pesquisador Mav Levin, responsável por identificar o problema, a cadeia de exploração é extremamente rápida e pode ser executada em milissegundos após o clique do usuário. Isso torna o ataque altamente eficaz e difícil de detectar em tempo real. Mesmo configurações que limitam o acesso do OpenClaw à interface localhost não são seguras, pois o navegador do usuário estabelece a conexão local necessária ao acessar o link malicioso, contornando proteções de rede comuns. O criador do OpenClaw, Peter Steinberger, confirmou a gravidade da falha e recomendou a atualização imediata para a versão 2026.1.29, que já corrige o problema. A correção foi publicada em 30 de janeiro de 2026.
