openclaw falle critiche whatsapp

OpenClaw corregge tre falle critiche che permettono attacchi dall’host tramite un messaggio WhatsApp

🛡️ Executive Summary

  • Tre vulnerabilità ad alta gravità consentono di compromettere l’host di OpenClaw partendo da un semplice messaggio inviato tramite WhatsApp.
  • Le falle permettono command injection, path traversal e accesso a credenziali sensibili senza richiedere un accesso iniziale al sistema.
  • Gli sviluppatori hanno corretto i problemi nella versione 2026.6.6 e raccomandano aggiornamento immediato e hardening della configurazione.

L’evoluzione degli agenti di intelligenza artificiale porta con sé nuove superfici di attacco che interessano direttamente gli ambienti di esecuzione e le integrazioni con i canali di comunicazione. Il ricercatore di sicurezza Chinmohan Nayak ha divulgato tre vulnerabilità ad alta gravità che interessano OpenClaw, piattaforma utilizzata per realizzare agenti AI con accesso a strumenti e risorse dell’host. Le falle consentono di trasformare un semplice messaggio inviato tramite WhatsApp nell’innesco di una catena di attacco capace di portare all’esecuzione di codice arbitrario sul sistema ospitante. A differenza delle vulnerabilità Claw Chain rese pubbliche nei mesi precedenti, il nuovo scenario non richiede che l’attaccante disponga già di un accesso iniziale all’infrastruttura. Una volta raggiunti determinati percorsi applicativi, è possibile compromettere l’host, sottrarre credenziali sensibili, ottenere privilegi superiori e mantenere una presenza persistente sul sistema. Gli sviluppatori hanno corretto i problemi con la release 2026.6.6, invitando gli amministratori ad aggiornare rapidamente le installazioni esposte.

Tre vulnerabilità colpiscono il runtime di OpenClaw

Le vulnerabilità individuate sono identificate dagli advisory GHSA-hjr6-g723-hmfm, GHSA-9969-8g9h-rxwm e GHSA-575v-8hfq-m3mc, con punteggi CVSS compresi tra 8.4 e 8.8. Le prime due riguardano vulnerabilità di command injection originate da un filtraggio incompleto degli input destinati all’ambiente di esecuzione dell’host. Secondo l’analisi di Nayak, la blacklist utilizzata dal software non impedisce tutte le combinazioni pericolose, consentendo a un attaccante di eseguire comandi di sistema o mantenere processi persistenti oltre i privilegi previsti dall’applicazione. La terza vulnerabilità interessa invece il sistema di bind mount della sandbox e introduce un problema di path traversal che consente di aggirare le restrizioni applicate alle directory considerate sensibili. L’insieme delle tre falle permette di concatenare diverse tecniche offensive fino a compromettere completamente il sistema ospitante.

Il bypass dei mount espone credenziali e servizi dell’host

image 294
OpenClaw corregge tre falle critiche che permettono attacchi dall'host tramite un messaggio WhatsApp 5

L’aspetto più delicato riguarda il funzionamento della funzione incaricata di verificare i percorsi consentiti durante il montaggio delle directory nella sandbox. Il controllo verifica se il percorso richiesto ricade all’interno di un’area vietata, ma non esegue il controllo inverso, cioè se una directory vietata è contenuta nel percorso autorizzato. Questa lacuna permette di montare directory padre come /home o /var, aggirando di fatto la denylist che protegge percorsi sensibili quali .ssh, .aws e .gnupg. Un attaccante può così leggere chiavi SSH, credenziali AWS, segreti GPG e altri file riservati normalmente esclusi dalla sandbox. Ancora più grave è il montaggio della directory /var, che può esporre il socket Docker e consentire una completa evasione dall’ambiente containerizzato, trasformando una compromissione limitata in un controllo diretto dell’host.

Da un messaggio WhatsApp all’esecuzione di codice sull’host

Annuncio

Secondo il ricercatore, la caratteristica che rende particolarmente rilevante questa catena di vulnerabilità è la possibilità di attivarla attraverso un semplice messaggio inviato tramite WhatsApp. Non è necessario compromettere preventivamente l’ambiente né ottenere credenziali dell’utente bersaglio. Se la configurazione dell’istanza permette a input provenienti da canali esterni di raggiungere le funzionalità vulnerabili, il messaggio può innescare l’intera sequenza di exploit.

image 295
OpenClaw corregge tre falle critiche che permettono attacchi dall'host tramite un messaggio WhatsApp 6

Una volta superati i controlli, l’attaccante è in grado di eseguire codice arbitrario, installare backdoor persistenti, sottrarre dati sensibili e preparare ulteriori attività offensive direttamente dal sistema compromesso. Questa modalità differenzia le nuove vulnerabilità dalle precedenti Claw Chain, che richiedevano invece un foothold iniziale prima di poter raggiungere l’ambiente di esecuzione privilegiato.

Aggiornamento e hardening diventano prioritari

Gli sviluppatori di OpenClaw hanno corretto tutte e tre le vulnerabilità nella versione 2026.6.6, raccomandando agli amministratori di procedere immediatamente con l’aggiornamento. In attesa dell’installazione delle patch, viene suggerito di limitare l’accesso alle funzionalità coinvolte esclusivamente a operatori fidati oppure di disabilitarle quando non risultano indispensabili. Tra le misure di mitigazione rientrano anche l’attivazione della modalità sandbox per tutte le sessioni non principali, la rimozione del permesso exec dagli agenti esposti ai canali esterni e il controllo delle allowlist degli strumenti disponibili agli agenti. Gli sviluppatori raccomandano inoltre di monitorare con particolare attenzione i comandi git clone che utilizzano il protocollo ext::, poiché potrebbero essere sfruttati per eseguire comandi arbitrari sul sistema.

Un nuovo segnale d’allarme per la sicurezza degli agenti AI

Le vulnerabilità dimostrano come gli agenti AI non debbano essere valutati soltanto dal punto di vista dei modelli linguistici, ma anche per la sicurezza dell’infrastruttura che consente loro di interagire con il sistema operativo. L’accesso a file, strumenti, repository e ambienti containerizzati amplia notevolmente la superficie di attacco e rende fondamentale applicare rigorosi principi di isolamento tra codice proveniente da fonti non affidabili e risorse dell’host. Il lavoro di Chinmohan Nayak evidenzia inoltre come errori apparentemente limitati, quali un controllo incompleto sui percorsi o una blacklist insufficiente, possano trasformarsi in vulnerabilità critiche quando vengono concatenate all’interno di una stessa catena di exploit. Per le organizzazioni che impiegano OpenClaw in ambienti di produzione, l’aggiornamento alla versione 2026.6.6, accompagnato da una revisione delle configurazioni di sicurezza e dei privilegi concessi agli agenti, rappresenta la misura più efficace per ridurre il rischio di compromissione dell’infrastruttura.

Iscriviti alla Newsletter

Non perdere le analisi settimanali: Entra nella Matrice Digitale.

Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.

Torna in alto