ClawJacked: La vulnerabilidad que permite secuestrar agentes de IA desde el navegador

El ecosistema de agentes de inteligencia artificial enfrenta su primera crisis de seguridad significativa en 2026. Investigadores de Oasis Security descubrieron una cadena de vulnerabilidades en OpenClaw que permite a cualquier sitio web tomar el control completo del agente de IA de un desarrollador, sin necesidad de plugins, extensiones o interacción del usuario . El fallo, bautizado como ClawJacked, expone cómo los servicios locales que confían ciegamente en las conexiones localhost pueden ser explotados mediante WebSockets desde cualquier página web.

El fallo en el corazón del sistema

OpenClaw ejecuta un gateway, un servidor WebSocket local que actúa como el cerebro de la operación. El gateway gestiona la autenticación, administra sesiones de chat, almacena la configuración y orquesta el agente de IA . El problema reside en un supuesto de diseño peligroso: el gateway se vincula a localhost por defecto, basándose en la suposición de que el acceso local es inherentemente confiable. Esa suposición es donde todo se desmorona.

La mecánica del ataque es sorprendentemente simple. JavaScript en la página abre una conexión WebSocket a localhost en el puerto del gateway de OpenClaw, lo cual está permitido porque las conexiones WebSocket a localhost no están bloqueadas por las políticas de origen cruzado . Una vez establecida la conexión, el script fuerza por fuerza bruta la contraseña del gateway a cientos de intentos por segundo. El limitador de velocidad del gateway exime completamente las conexiones localhost.

Una vez autenticado, el script se registra silenciosamente como un dispositivo confiable. El gateway aprueba automáticamente los emparejamientos de dispositivos desde localhost sin ninguna solicitud al usuario. El atacante entonces tiene control total: puede interactuar con el agente de IA, volcar datos de configuración, enumerar dispositivos conectados y leer registros.

Un patrón de riesgo sistémico

Lo verdaderamente preocupante es que esta vulnerabilidad fue trivialmente explotable desde cualquier sitio web que el desarrollador visitara. Los investigadores encontraron una cadena de vulnerabilidades que permite tomar el control completo del agente de forma silenciosa, sin plugins, extensiones ni interacción del usuario requerida.

El equipo STRIKE de SecurityScorecard encontró más de 135,000 instancias de OpenClaw expuestas a internet pública en 82 países. Más de 15,000 de ellas eran directamente vulnerables a ejecución remota de código . Esta exposición masiva ilustra un problema más profundo: muchos desarrolladores despliegan herramientas de IA sin considerar las implicaciones de seguridad.

Respuesta inmediata y mitigación

El equipo de OpenClaw clasificó esto como de severidad alta y envió un parche en menos de 24 horas. Los usuarios deben actualizar a la versión 2026.2.25 o posterior inmediatamente . El parche refuerza las verificaciones de seguridad de WebSocket y añade protecciones adicionales para prevenir que los atacantes abusen de las conexiones de loopback localhost para forzar inicios de sesión por fuerza bruta o secuestrar sesiones.

Además de ClawJacked, OpenClaw también parcheó una vulnerabilidad de envenenamiento de registros que permitía a atacantes escribir contenido malicioso en archivos de log a través de solicitudes WebSocket a una instancia públicamente accesible en el puerto TCP 18789. Como el agente lee sus propios registros para solucionar ciertas tareas, esta brecha de seguridad podía ser abusada por un actor de amenazas para incrustar inyecciones de prompt indirectas. El problema fue abordado en la versión 2026.2.13, lanzada el 14 de febrero de 2026.

Recomendaciones para la defensa

Las organizaciones que ejecutan agentes de IA locales deben adoptar un enfoque preventivo multicapa:

Actualización urgente: Cualquier instancia de OpenClaw debe actualizarse inmediatamente a la versión 2026.2.25 o posterior.

Rotación de credenciales: Si OpenClaw puede acceder a claves API, tokens o integraciones de chat, deben rotarse y reducir sus alcances. Enfocarse en credenciales que permitan movimiento lateral (control de código fuente, CI/CD, nube, herramientas de colaboración).

Segmentación de red: Aplicar el principio de mínimo privilegio a las herramientas y conectores integrados con OpenClaw y separar operaciones altamente sensibles en agentes más controlados.

Auditoría de habilidades: Investigadores de Koi Security descubrieron que de 10,700 habilidades en ClawHub, más de 820 eran maliciosas, un aumento agudo respecto a las 324 que había descubierto apenas unas semanas antes a principios de febrero.

Monitoreo continuo: Buscar conexiones WebSocket inesperadas al gateway de OpenClaw que se originen desde procesos del navegador y nuevos registros de dispositivos en registros del gateway que se correlacionen con actividad de navegación web.

El paradigma de seguridad de los agentes de IA

ClawJacked refuerza un cambio más amplio: los agentes de IA se están convirtiendo rápidamente en un nuevo plano de control en los entornos empresariales. Un compromiso en la capa del agente puede eludir los controles tradicionales de endpoint y aplicaciones y entregar impacto inmediato a través de canales de automatización legítimos.

La lección fundamental es clara: el problema es una variante moderna de un antipatrón de seguridad de larga data: asumir que "localhost equivale a confiable". Los navegadores pueden iniciar conexiones WebSocket a servicios locales, y a menos que el servidor aplique una política de origen estricta y refuerzo de autenticación, un sitio malicioso puede usar el propio navegador de la víctima como puente hacia herramientas de solo acceso local.