Per più di un mese, i professionisti della sicurezza hanno messo in guardia sui pericoli derivanti dall’utilizzo di OpenClaw, lo strumento di agente AI virale che ha preso d’assalto la comunità di sviluppo. Una vulnerabilità risolta di recente relativa al motivo per cui viene restituito un oggetto.
OpenClaw, lanciato a novembre e ora vanta 347.000 stelle Github, in base alla progettazione, prende il controllo del computer di un utente e interagisce con altre app e piattaforme per aiutare in molte attività, tra cui l’organizzazione di file, la ricerca e lo shopping online. Per essere utile, ha bisogno dell’accesso (e in abbondanza) al maggior numero possibile di risorse. Telegram, Discord, Slack, file di rete locali e condivisi, account e sessioni registrate sono solo alcune delle risorse previste. Una volta concesso l’accesso, OpenClaw è progettato per agire esattamente come un utente con lo stesso ampio insieme di autorizzazioni e funzionalità.
effetto fatale
All’inizio di questa settimana, gli sviluppatori di OpenClaw hanno rilasciato patch di sicurezza per tre vulnerabilità di elevata gravità. Soprattutto il livello di gravità, CVE-2026-33579Valutato da 8,1 a 9,8 su un massimo di 10 a seconda del sistema di misurazione utilizzato, e per una buona ragione. Ciò consente a chiunque di ottenere lo stato amministrativo (l’autorizzazione di livello più basso) per accoppiarsi. In questo modo l’aggressore ha il controllo su tutte le risorse nell’istanza OpenClaw.
“Le implicazioni pratiche sono serie”, affermano i ricercatori del costruttore di app AI Blink ha scritto. “Un utente malintenzionato che possiede già l’ambito operator.pairing, l’autorizzazione più bassa in una distribuzione OpenClaw, può autorizzare silenziosamente le richieste di accoppiamento del dispositivo che richiedono l’ambito operator.admin. Una volta concessa l’autorizzazione, il dispositivo attaccante detiene l’accesso amministrativo completo all’istanza OpenClaw. Non è richiesta alcuna interazione da parte dell’utente per eseguire un exploit secondario.”
Il post continua: “Per le organizzazioni che utilizzano OpenClock come piattaforma di agenti AI a livello aziendale, un dispositivo operator.admin compromesso può leggere tutte le origini dati connesse, estrarre le credenziali archiviate nell’ambiente delle competenze dell’agente, eseguire chiamate di strumenti arbitrarie e ruotare su altri servizi connessi. Questo è pienamente accettato in “escale dei privilegi”.
