Claw Chain: cuatro CVE de OpenClaw que convierten al agente de IA en las manos del atacante
Divulgada el 15 de mayo de 2026, la Claw Chain de Cyera Research encadena cuatro fallos parcheados de OpenClaw — escape de sandbox, fuga de variables de entorno, elevación de privilegios MCP, lectura por symlink — en una toma de control completa del host vía el propio agente.
What is this?
El 15 de mayo de 2026, Cyera Research publicó Claw Chain, el informe público de cuatro vulnerabilidades encadenables en OpenClaw, una de las plataformas de código abierto para agentes de IA autónomos de mayor crecimiento. Los cuatro hallazgos (CVE-2026-44112, CVE-2026-44113, CVE-2026-44115, CVE-2026-44118) se reportaron a los mantenedores en abril de 2026 y se corrigieron en la versión OpenClaw 2026.4.22 el 23 de abril de 2026, tres semanas antes de la divulgación pública. Los parches corresponden a los GitHub Security Advisories GHSA-5h3g-6xhh-rg6p, GHSA-wppj-c6mr-83jj, GHSA-r6xh-pqhr-v4xh y GHSA-x3h8-jrgh-p8jx.
Por separado las CVE ya son graves — la puntuación más alta es 9,6 (CRÍTICA) — pero la lectura editorial está en la cadena. A partir de un único punto de apoyo logrado mediante inyección de prompt, un plugin malicioso o un input aguas arriba envenenado, el atacante alcanza la persistencia a nivel de host usando los propios privilegios del agente. Cyera estima entre 65 000 (Shodan) y 180 000 (Zoomeye) instancias de OpenClaw accesibles públicamente en el momento de la divulgación.
How it works
OpenClaw conecta un LLM a sistemas de archivos, aplicaciones SaaS, credenciales y un sandbox de ejecución llamado OpenShell. Cada uno de los cuatro fallos debilita una garantía concreta que el resto del runtime asume:
- CVE-2026-44112 — Escape de escritura por TOCTOU en sandbox (CVSS 9,6). Una condición de carrera time-of-check / time-of-use sobre OpenShell permite redirigir una escritura validada hacia una ruta fuera del sandbox después del control.
- CVE-2026-44115 — Fuga de variables de entorno mediante allowlist de ejecución (CVSS 8,8). Comandos aprobados por el validador se reexpanden en el shell dentro de heredocs sin entrecomillar, exfiltrando claves de API, tokens y secretos a través de una orden que parecía segura en el momento del control.
- CVE-2026-44118 — Elevación de privilegios por loopback MCP (CVSS 7,8). El gateway MCP confía en un flag
senderIsOwnercontrolado por el cliente sin validarlo frente a la sesión autenticada. Un proceso local con un bearer token válido se eleva a propietario. - CVE-2026-44113 — Escape de lectura por TOCTOU en sandbox (CVSS 7,7). El mismo patrón de carrera en lecturas: se sustituye la ruta validada por un enlace simbólico y el agente lee archivos a los que nunca debería haber accedido.
Cyera describe la cadena en cuatro pasos. Paso 1, punto de apoyo: ejecución de código dentro de OpenShell mediante plugin, inyección de prompt o input envenenado. Paso 2, exfiltración — CVE-2026-44113 y CVE-2026-44115 vuelcan secretos y archivos accesibles. Paso 3, elevación de privilegios vía CVE-2026-44118 hasta el control owner del gateway, el cron y el entorno de ejecución. Paso 4, persistencia vía CVE-2026-44112: se escriben backdoors fuera del sandbox que sobreviven a los reinicios.
# Cadena conceptual — ilustrativa, no es código de explotación
foothold := plugin | prompt_injection | poisoned_input
exfiltrate := read_escape (CVE-44113) + env_leak (CVE-44115)
escalate := senderIsOwner = true (CVE-44118)
persist := write_escape (CVE-44112) → backdoor fuera del sandboxWhy it matters
Tres lecciones pesan más que cualquier CVE individual.
Primero, el agente es la primitiva de movimiento lateral. Cada paso de Claw Chain parece actividad normal del agente para las herramientas perimetrales y de EDR. El runtime hace aquello para lo que se construyó — leer archivos, ejecutar comandos, programar tareas — solo que las entradas son hostiles. No hay firma exótica que detectar.
Segundo, el TOCTOU vuelve, disfrazado de sandbox de agente. Dos de cuatro CVE son carreras clásicas sobre validación de rutas, un patrón que la seguridad informática persigue desde hace treinta años. La novedad es el modelo de amenaza: un llamador no humano y sin pausa (el LLM) genera operaciones de filesystem a velocidad de máquina, reduciendo la ventana check / use y creando condiciones ideales para la carrera.
Tercero, las fronteras de confianza MCP son ya una superficie de ataque real. CVE-2026-44118 trata una afirmación del cliente como verdad. Cualquier framework que exponga un gateway local de estilo MCP hereda exactamente este modo de fallo, salvo que cada bit privilegiado quede ligado a una sesión del servidor y no a un flag enviado por el llamador.
Defenses
Acciones concretas que se desprenden de la divulgación.
Si ejecuta OpenClaw, aplique la versión 2026.4.22 y los cuatro advisories de GitHub citados. Trate como potencialmente comprometido cualquier secreto al alcance del runtime durante la ventana previa al parche: rote claves de API, bearer tokens y credenciales presentes en las variables de entorno de los procesos OpenShell. Inventaríe instancias expuestas a Internet — Shodan reporta unas 65 000 — y póngalas tras autenticación y controles de red.
Para cualquier runtime de agente, retire de la frontera de confianza los flags de autorización suministrados por el cliente. Vincule propietario, rol y tenant estrictamente a la sesión autenticada del servidor. El patrón senderIsOwner es el equivalente agéntico de confiar en un parámetro de URL ?admin=true.
Entrecomille y aísle la expansión de variables de entorno en las invocaciones del shell. Un validador que aprueba una cadena de comando pero no controla cómo el shell expande variables dentro de heredocs proporciona la ilusión de una allowlist. O bien deniegue la expansión ${...} y $VAR en el validador, o bien rechace los heredocs en órdenes emitidas por un agente.
Elimine la ventana TOCTOU. Abra el descriptor de archivo una sola vez, valide el inodo mediante fstat sobre ese descriptor y opere sobre el descriptor — nunca reabra por ruta. Rechace enlaces simbólicos que crucen la raíz del sandbox con O_NOFOLLOW y los flags de resolución de openat2.
Finalmente, trate al agente como una identidad privilegiada, no como una herramienta. Acote los datos, credenciales y sistemas SaaS que puede alcanzar al mínimo útil. Segmente su red. Registre la actividad por plugin y por prompt en un destino fuera de banda, para que un runtime comprometido no pueda reescribir su propio rastro de auditoría.
Status
| Elemento | Detalle |
|---|---|
| CVE | CVE-2026-44112, CVE-2026-44113, CVE-2026-44115, CVE-2026-44118 |
| CVSS máximo | 9,6 (CRÍTICA) — CVE-2026-44112 |
| Reporte a los mantenedores | Abril de 2026 |
| Parche | OpenClaw 2026.4.22 — 23 de abril de 2026 |
| Publicación pública | 15 de mayo de 2026 (Cyera Research) |
| Versiones afectadas | Todas anteriores a 2026.4.22 |
| Instancias expuestas | ~65 000 (Shodan) · ~180 000 (Zoomeye) |
| GHSA | GHSA-5h3g-6xhh-rg6p, GHSA-wppj-c6mr-83jj, GHSA-r6xh-pqhr-v4xh, GHSA-x3h8-jrgh-p8jx |
| Descubridor | Cyera Research |
Sources
- → https://www.cyera.com/blog/claw-chain-cyera-research-unveil-four-chainable-vulnerabilities-in-openclaw
- → https://thehackernews.com/2026/05/four-openclaw-flaws-enable-data-theft.html
- → https://www.darkreading.com/application-security/claw-chain-vulnerabilities-threaten-openclaw
- → https://www.esecurityplanet.com/threats/openclaw-vulnerabilities-could-enable-full-ai-agent-takeover/
- → https://www.bankinfosecurity.com/patched-openclaw-flaw-let-hackers-hijack-ai-agents-a-31720
- → https://cybersecuritynews.com/openclaw-chain-vulnerabilities/