Byla odhalena závažná bezpečnostní chyba v OpenClaw (dříve označovaném jako Clawdbot a Moltbot), která by mohla umožnit vzdálené spuštění kódu (RCE) prostřednictvím speciálně vytvořeného škodlivého odkazu.
Problém, který je sledován jako CVE-2026-25253 (CVSS skóre: 8.8), byl opraven ve verzi 2026.1.29 vydané 30. ledna 2026. Je popsán jako zranitelnost umožňující exfiltraci tokenu, která vede k úplnému kompromitování brány.
„Control UI důvěřuje gatewayUrl z řetězce dotazu bez ověření a automaticky se připojuje při načtení, přičemž odesílá uložený token brány v datové části WebSocket připojení,“ uvedl tvůrce a správce OpenClaw Peter Steinberger v bezpečnostním upozornění.
„Kliknutí na speciálně vytvořený odkaz nebo návštěva škodlivé stránky může odeslat token na server kontrolovaný útočníkem. Útočník se pak může připojit k místní bráně oběti, upravit konfiguraci (sandbox, zásady nástrojů) a vyvolat privilegované akce, čímž dosáhne RCE jedním kliknutím.“
OpenClaw je open-source autonomní osobní asistent s umělou inteligencí (AI), který běží lokálně na zařízeních uživatelů a integruje se s širokou škálou komunikačních platforem. Ačkoli byl projekt poprvé vydán v listopadu 2025, v posledních týdnech získal rychlou popularitu, přičemž jeho GitHub repozitář překročil v době psaní článku 149 000 hvězdiček.
„OpenClaw je otevřená agentní platforma, která běží na vašem počítači a funguje z chatovacích aplikací, které již používáte,“ řekl Steinberger. „Na rozdíl od SaaS asistentů, kde vaše data žijí na cizích serverech, OpenClaw běží tam, kde si vyberete – laptop, domácí lab nebo VPS. Vaše infrastruktura. Vaše klíče. Vaše data.“
Mav Levin, zakládající bezpečnostní výzkumník ve společnosti depthfirst, kterému je připsán objev této nedostatečnosti, uvedl, že ji lze zneužít k vytvoření exploitačního řetězce RCE jedním kliknutím, který trvá pouze milisekundy poté, co oběť navštíví jedinou škodlivou webovou stránku.
Problém spočívá v tom, že kliknutí na odkaz na tuto webovou stránku stačí k vyvolání útoku cross-site WebSocket hijacking, protože server OpenClaw neověřuje hlavičku origin WebSocket. To způsobuje, že server přijímá požadavky z jakékoli webové stránky, čímž efektivně obchází omezení sítě localhost.
Škodlivá webová stránka může tohoto problému využít ke spuštění JavaScriptu na straně klienta v prohlížeči oběti, který může získat autentizační token, navázat WebSocket připojení k serveru a použít odcizený token k obejití autentizace a přihlášení do instance OpenClaw oběti.
K zhoršení situace může útočník využitím privilegovaných rozsahů tokenu operator.admin a operator.approvals použít API k deaktivaci potvrzení uživatele nastavením „exec.approvals.set“ na „off“ a uniknout z kontejneru používaného ke spouštění shellových nástrojů nastavením „tools.exec.host“ na „gateway“.
„To nutí agenta spouštět příkazy přímo na hostitelském počítači, nikoli uvnitř Docker kontejneru,“ řekl Levin. „Nakonec, k dosažení libovolného spuštění příkazu, útočnický JavaScript provede požadavek node.invoke.“
Na otázku, zda použití API OpenClaw ke správě bezpečnostních funkcí představuje architektonické omezení, Levin odpověděl The Hacker News v e-mailové odpovědi: „Řekl bych, že problém je v tom, že tyto obranné mechanismy (sandbox a bezpečnostní zábrany) byly navrženy k omezení škodlivých akcí LLM, například v důsledku prompt injection. A uživatelé si mohou myslet, že tyto obranné mechanismy by chránily před touto zranitelností (nebo omezily rozsah dopadu), ale nečiní tak.“
Steinberger v upozornění poznamenal, že „zranitelnost je zneužitelná i na instancích nakonfigurovaných k naslouchání pouze na loopback, protože prohlížeč oběti iniciuje odchozí připojení.“
„Ovlivňuje jakékoli nasazení Moltbot, kde se uživatel autentizoval do Control UI. Útočník získá přístup na úrovni operátora k API brány, což umožňuje libovolné změny konfigurace a spuštění kódu na hostiteli brány. Útok funguje i když se brána váže na loopback, protože prohlížeč oběti funguje jako most.“
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
