Vulnerabilitate majoră descoperită în OpenClaw: Pericol de execuție de cod la distanță
O vulnerabilitate de severitate ridicată a fost identificată în platforma OpenClaw, un asistent personal bazat pe inteligență artificială, care ar putea permite executarea de cod malițios printr-un simplu clic pe un link infectat. Această problemă, catalogată sub identificatorul CVE-2026-25253, are un scor critic de 8.8 pe scala CVSS și afectează orice instalare a aplicației în care utilizatorul s-a autentificat în interfața de control.
Creatorul OpenClaw, Peter Steinberger, a explicat că vulnerabilitatea se găsește în interfața de utilizare: „Control UI încredințează gatewayUrl din query string fără o verificare adecvată și se conectează automat în momentul încărcării, trimițând token-ul stocat în payload-ul WebSocket.” Aceasta înseamnă că un atacator poate intercepta token-ul utilizatorului, obținând acces complet la configurația instantei OpenClaw.
Exploatarea rapidă a vulnerabilității
Conform cercetătorului de securitate Mav Levin, care a descoperit această breșă, atacul poate fi realizat extrem de rapid. „Exploatarea necesită doar vizitarea unei pagini web malițioase. Konferințele sunt destul de simple și pot fi realizate în doar câteva milisecunde,” a spus Levin. Problema majoră constă în faptul că serverul OpenClaw nu validează antetul origin al WebSocket-ului, permițând serverului să accepte cereri din orice sursă.
Un atacator poate, astfel, să execute JavaScript client-side pe browserul victimei pentru a obține token-ul de autentificare, stabilind o conexiune WebSocket către serverul OpenClaw și logându-se cu token-ul furat. Aceasta oferă atacatorului acces la funcții privilegiate, permițând modificarea configurărilor și execuția de comenzi directe pe mașina utilizatorului.
Impactul asupra utilizatorilor și reacțiile comunității
OpenClaw este o platformă open-source care are o popularitate în creștere, având acum peste 149.000 stele pe GitHub de la lansarea sa în noiembrie 2025. Deși Steinberger subliniază că aplicația permite utilizatorilor să păstreze controlul asupra datelor lor, această vulnerabilitate ridică întrebări grave cu privire la securitatea aplicației.
„Din păcate, multe dintre funcțiile de siguranță implementate nu pot preveni exploatarea acestei vulnerabilități”, a declarat Levin pentru The Hacker News. El a subliniat că protecțiile existente au fost gândite pentru a contracara acțiunile malițioase ale unor modele de limbaj, dar nu și pentru cercuri externe de atac.
Pentru a contracara problema, OpenClaw a lansat o actualizare, versiunea 2026.1.29, pe 30 ianuarie 2026, care abordează această vulnerabilitate. Totuși, utilizatorii sunt sfătuiți să fie prudenți și să își verifice configurațiile pentru a se asigura că nu sunt expuși riscurilor.
Într-o lume din ce în ce mai dependentă de tehnologiile autonome și AI, atacuri ca acesta subliniază necesitatea urgentă a unor standarde de securitate mai stricte. O simplă greșeală în cod poate transforma un instrument util într-o amenințare majoră. Comunitațile de dezvoltatori și utilizatori sunt acum în alertă, conștienți că securitatea cibernetică este o luptă continuă, dar esențială în menținerea integrității datelor personale și a sistemelor informatice.
