Farsă în Securitate: O vulnerabilitate majoră afectează OpenClaw
O vulnerabilitate severă de securitate a fost descoperită în OpenClaw, un asistent personal bazat pe inteligență artificială, care ar putea permite executarea de cod de la distanță printr-un link malitios. Problema, identificată ca CVE-2026-25253, prezintă un scor CVSS de 8.8, fiind astfel clasificată drept o amenințare critică.
Potrivit creatorului OpenClaw, Peter Steinberger, “interfața de control are încredere în gatewayUrl din șirul de interogare fără a face validări, conectându-se automat la încărcare, ceea ce trimite token-ul de acces stocat în payload-ul WebSocket.” Această situație le oferă atacatorilor posibilitatea de a accesa și modifica configurările utilizatorului, ceea ce poate duce la un atac de tip RCE (executare de cod la distanță) cu un singur clic.
Vulnerabilitate cu impact semnificativ pentru utilizatori
OpenClaw, un proiect open-source lansat în noiembrie 2025, a câștigat rapid popularitate și a depășit 149.000 de stele pe GitHub. Acesta funcționează pe dispozitivele utilizatorilor și se integrează cu diverse platforme de mesagerie, promițând să ofere control total asupra datelor personale.
Mav Levin, un specialist în securitate responsabil cu descoperirea acestei breșe, a explicat cât de ușor poate fi exploatată. “Atacul se poate desfășura în doar câteva milisecunde după ce victima accesează o pagină web malițioasă,” a declarat Levin. “Aceasta declanșează un atac de tip hijacking al WebSocket-urilor, ce nu validează antetul de origine.”
Această vulnerabilitate nu se limitează la utilizatorii care operează în mod deschis, ci afectează chiar și instanțele configurate pentru a asculta conectarea exclusiv pe loopback. “Atacatorul poate obține acces la API-ul gateway-ului, având posibilitatea de a face modificări arbitrare și de a executa cod pe gazda gateway-ului,” a precizat Steinberger în advisoriul său de securitate.
Consecințe și măsuri luate
OpenClaw a publicat o actualizare de securitate pe 30 ianuarie 2026, remediind această problemă, însă importanța acesteia încă persistă. “Chiar și configurațiile restricționate la interfața localhost sunt expuse,” a adăugat Steinberger. “Browserul victimei devine puntea către atacator, facilitând astfel accesul neautorizat.”
Specialiștii în securitate subliniază importanța actualizării rapide a software-ului, mai ales în contextul în care aplicațiile bazate pe AI devin tot mai populare. “Sistemele de apărare din cadrul aplicației au fost concepute pentru a proteja împotriva acțiunilor malițioase derivate din modelele de limbaj artificiale,” a explicat Levin. “Utilizatorii ar putea să creadă că aceste măsuri oferă protecție față de această vulnerabilitate, dar realitatea este diferită.”
OpenClaw reprezintă un exemplu clar al provocărilor cu care se confruntă aplicațiile digitale moderne în contextul securității cibernetice. Cu o creștere exponențială a utilizării soluțiilor AI, amenințările de acest tip vor continua să evolueze.
Această vulnerabilitate nu este doar o îngrijorare pentru dezvoltatori, ci afectează și utilizatorii care își bazează zilnic viața digitală pe asemenea platforme. Într-o lume unde datele personale și confidențialitatea sunt esențiale, incidentul OpenClaw ar trebui să fie un semnal de alarmă pentru toți cei care dezvoltă sau utilizează tehnologii avansate.
