Recientemente se revelaron 9 vulnerabilidades de seguridad en OpenClaw en solo 4 días, incluyendo una con puntuación 9.9 de 10 (Crítica). Sumado al ataque de cadena de suministro de Axios, los criadores de OpenClaw deben dedicar 10 minutos a esta revisión de seguridad.
Entre el 18 y el 21 de marzo de 2026, investigadores de seguridad revelaron 9 CVEs de OpenClaw en solo 4 días. Luego, el 31 de marzo, se descubrió el ataque de cadena de suministro de Axios. Aquí está la lista completa.
| ID de CVE | CVSS | Descripción | Corregido en |
|---|---|---|---|
| CVE-2026-22172 | 9.9 | Conexiones WebSocket pueden auto-declarar privilegios de admin | 2026.3.12 |
| CVE-2026-32051 | 8.8 | Escalación de privilegios de operator.write a owner | 2026.3.1 |
| CVE-2026-22171 | 8.2 | Recorrido de rutas en descarga de media de Lark | 2026.2.19 |
| CVE-2026-32025 "ClawJacked" |
7.5 | Los navegadores pueden atacar por fuerza bruta el gateway local | 2026.2.25 |
| CVE-2026-32048 | 7.5 | Escape de sandbox — los procesos hijos no heredan las restricciones | 2026.3.1 |
| CVE-2026-32049 | 7.5 | DoS por payload de media sobredimensionado | 2026.2.22 |
| CVE-2026-32032 | 7.0 | Variable de entorno SHELL no confiable | 2026.2.22 |
| CVE-2026-29607 | 6.4 | Elusión del wrapper allow-always | 2026.2.22 |
| CVE-2026-28460 | 5.9 | Elusión de allowlist mediante caracteres de nueva línea del shell | 2026.2.22 |
1.14.1 y 0.30.4 fueron comprometidos con puertas traserasplain-crypto-jsRevisa cada punto y márcalo conforme avanzas. Tu progreso se guarda automáticamente en el navegador.
La versión ≥ 2026.3.12 corrige las 9 vulnerabilidades.
openclaw --versionnpm update -g openclawCVE-2026-32025 permite a los navegadores atacar por fuerza bruta un gateway expuesto.
// Revisar gateway.bind en openclaw.json
{
"gateway": {
"bind": "loopback" // ← verificar aquí
}
}"loopback" o "127.0.0.1""0.0.0.0" o sin configurar"bind": "loopback"; usar Tailscale o SSH tunnel para acceso remotoEl modo password es vulnerable a ataques de fuerza bruta.
// Revisar gateway.auth.mode
{
"gateway": {
"auth": {
"mode": "token" // ← verificar aquí
}
}
}"token""password""mode": "token"Evita que desconocidos activen tu Agent.
// Revisar configuración de channels.telegram
{
"channels": {
"telegram": {
"dmPolicy": "allowlist",
"allowFrom": ["tu ID de Telegram"]
}
}
}dmPolicy: "allowlist" + allowFrom configuradodmPolicy: "open" o sin allowFrom en gruposallowFrom — solo permitir tu propio IDCVE-2026-28460 y CVE-2026-29607 pueden eludir la aprobación de comandos.
// Revisar tools.exec.security
{
"tools": {
"exec": {
"security": "allowlist" // ← verificar aquí
}
}
}"allowlist""full""security": "allowlist"Evita que el Agent lea o escriba archivos críticos del sistema.
// Revisar tools.fs.workspaceOnly
{
"tools": {
"fs": {
"workspaceOnly": true // ← verificar aquí
}
}
}truefalse o sin configurar"workspaceOnly": trueLas versiones maliciosas de Axios instalan un troyano RAT.
# Verificar versión de axios
npm list axios | grep -E "1.14.1|0.30.4"
# Verificar paquete malicioso
ls node_modules/plain-crypto-js
# Verificar RAT (macOS)
ls /Library/Caches/com.apple.act.mond
# Verificar RAT (Linux)
ls /tmp/ld.pyTodas las configuraciones clave en una tabla. Verde = seguro, Rojo = peligroso.
| Configuración | ✅ Valor seguro | ❌ Valor peligroso |
|---|---|---|
| Versión | ≥ 2026.3.12 | < 2026.3.12 |
| gateway.bind | loopback | 0.0.0.0 |
| gateway.auth.mode | token | password |
| telegram.dmPolicy | allowlist | open |
| tools.exec.security | allowlist | full |
| tools.fs.workspaceOnly | true | false |
| Versión de axios | ≠ 1.14.1, 0.30.4 | 1.14.1 o 0.30.4 |
No entres en pánico — sigue estos pasos en orden.
@BotFather)npm update -g openclawSi encuentras rastros de la versión maliciosa de Axios (archivos RAT existentes), tu máquina puede haber sido completamente comprometida. Además de los pasos anteriores, debes verificar si todas las claves, contraseñas y tokens almacenados localmente han sido exfiltrados.
Para profundizar en los detalles de las vulnerabilidades, consulta estos recursos.