Vulnerabilidades en OpenClaw AI permiten inyección de comandos y fuga de datos
Publicado el
Advertencia sobre OpenClaw AI
El equipo nacional de respuesta técnica ante emergencias de la red informática de China (CNCERT) ha emitido una alerta sobre las vulnerabilidades de OpenClaw, un agente de inteligencia artificial (IA) autónomo y de código abierto. Según CNCERT, la plataforma presenta "configuraciones de seguridad predeterminadas inherentemente débiles", que, combinadas con su acceso privilegiado al sistema, permiten a los atacantes tomar control del endpoint.
Uno de los riesgos más destacados es la inyección de comandos. Este tipo de ataque ocurre cuando instrucciones maliciosas se incrustan en una página web, lo que puede inducir al agente a filtrar información sensible. Se conoce también como inyección indirecta de comandos (IDPI) o inyección de comandos entre dominios (XPIA). En lugar de interactuar directamente con un modelo de lenguaje grande (LLM), los adversarios aprovechan funciones aparentemente benignas de la IA, como la sintetización de páginas web o el análisis de contenido, para ejecutar instrucciones manipuladas.
Evolución de los ataques
OpenAI ha señalado que los ataques de inyección de comandos están evolucionando. Ya no se limitan a insertar instrucciones en contenido externo, sino que incluyen elementos de ingeniería social. "Los agentes de IA pueden navegar por la web, recuperar información y realizar acciones en nombre del usuario", advierte OpenAI, lo que abre nuevas oportunidades para que los atacantes manipulen estos sistemas.
Investigaciones recientes de PromptArmor han revelado que la función de vista previa de enlaces en aplicaciones de mensajería como Telegram o Discord puede convertirse en un medio para la exfiltración de datos al comunicarse con OpenClaw. Los atacantes pueden engañar al agente de IA para que genere una URL controlada por ellos, que, al ser mostrada como vista previa, envía automáticamente datos confidenciales a ese dominio sin que el usuario tenga que hacer clic en el enlace.
Otros riesgos asociados
CNCERT también ha señalado otras tres preocupaciones relevantes: 1. Eliminación accidental de datos: OpenClaw podría borrar información crítica debido a una mala interpretación de las instrucciones del usuario. 2. Carga de habilidades maliciosas: Los actores de amenazas pueden subir habilidades nocivas a repositorios como ClawHub, que, al ser instaladas, ejecutan comandos arbitrarios o despliegan malware. 3. Explotación de vulnerabilidades: Los atacantes pueden aprovechar vulnerabilidades recientemente divulgadas en OpenClaw para comprometer el sistema y filtrar datos sensibles.
CNCERT advierte que, en sectores críticos como la finanza y la energía, tales brechas podrían resultar en la exposición de datos empresariales fundamentales, secretos comerciales y repositorios de código, incluso provocando la parálisis total de sistemas empresariales, lo que acarrearía pérdidas incalculables.
Recomendaciones de seguridad
Para mitigar estos riesgos, se recomienda a usuarios y organizaciones que: - Refuercen los controles de red. - Eviten exponer el puerto de gestión predeterminado de OpenClaw a Internet. - Aíslen el servicio en un contenedor. - No almacenen credenciales en texto claro. - Descarguen habilidades únicamente de canales confiables. - Desactiven las actualizaciones automáticas de habilidades y mantengan el agente actualizado.
La situación ha llevado a las autoridades chinas a restringir el uso de aplicaciones de IA de OpenClaw en ordenadores de empresas estatales y agencias gubernamentales, buscando contener los riesgos de seguridad. Además, algunos actores maliciosos están aprovechando la popularidad de OpenClaw para distribuir repositorios de GitHub que se presentan como instaladores de OpenClaw, utilizando instrucciones de tipo ClickFix para implementar ladrones de información como Atomic y Vidar Stealer, así como un malware proxy basado en Golang conocido como GhostSocks.
Conclusión
La naturaleza viral de OpenClaw ha capturado la atención de los cibercriminales, quienes están utilizando tácticas engañosas para comprometer la seguridad de los usuarios. Es crucial que los afectados tomen medidas proactivas para proteger sus sistemas y datos frente a estas amenazas emergentes.