Si ha estado utilizando OpenClaw, la popular herramienta de inteligencia artificial que ha conquistado a la comunidad de desarrolladores, probablemente debería actualizarla si aún no lo ha hecho.
OpenClaw, como informamos en el pasado, tiene problemas de seguridad ampliamente conocidos. Desde el principio, el creador de OpenClaw, Peter Steinberger, advirtió a los usuarios potenciales en GitHub que “no existe una configuración ‘perfectamente segura'”.
Los usuarios pueden otorgar a OpenClaw control sobre sus dispositivos y acceso a aplicaciones específicas, archivos locales y cuentas iniciadas, permitiéndole actuar en su nombre con permisos de usuario completos. Ese es el objetivo de este asistente agente de IA. Por eso, los investigadores de seguridad han estado advirtiendo durante meses que existe un riesgo significativo si algo sale mal.
Ahora, presumiblemente, algo salió mal
De acuerdo a Ars TécnicaLos desarrolladores de OpenClaw parchearon tres vulnerabilidades de alta gravedad a principios de la semana pasada, la más grave de las cuales: CVE-2026-33579 — Obtuvo una puntuación de 9,8 sobre 10 en la escala de intensidad. Investigadores del creador de aplicaciones de IA Blink Se descubrió que la falla permitía que cualquier persona con el nivel de acceso más bajo posible se actualizara silenciosamente a administrador completo.
Velocidad de la luz triturable
La mecánica, como la describe Blink, es sencilla. El sistema de emparejamiento de dispositivos de OpenClaw no pudo verificar que la persona que autoriza una solicitud de acceso realmente tuviera la autoridad para otorgar la solicitud. Por lo tanto, un atacante con privilegios básicos de emparejamiento puede simplemente solicitar acceso de administrador y autorizar su propia solicitud. En efecto, la puerta estaba abierta desde dentro.
¿Exactamente cuántos usuarios eran vulnerables a la toma de control de la configuración de garras? Los investigadores de Blink informaron que alrededor del 63 por ciento de las instancias de OpenClaw conectadas a Internet se ejecutaban sin ningún tipo de autenticación. En esta configuración, un atacante ni siquiera necesitaba una cuenta de bajo nivel para comenzar: simplemente podía caminar por la calle y llegar hasta un administrador.
Ars Technica señala que el parche se lanzó el domingo 5 de abril, pero la lista oficial de CVE no apareció hasta el martes. Esta brecha de dos días dio una ventaja a los atacantes que prestaron atención antes de que la mayoría de los usuarios supieran de la actualización.
Blink señala que CVE-2026-33579 es la sexta vulnerabilidad relacionada con el emparejamiento revelada en OpenClaw en seis semanas: todas variaciones del mismo defecto de diseño subyacente en la forma en que la herramienta maneja los permisos. Cada parche abordó un exploit específico de forma aislada en lugar de reconstruir el sistema de autorización responsable de todos ellos.
Si ejecuta OpenClaw, actualice a la versión 2026.3.28 inmediatamente. Si estaba ejecutando una versión anterior la semana pasada, tanto Ars Technica como Blink recomiendan auditar sus registros de actividad para detectar instancias potencialmente comprometidas y autorizaciones de dispositivos cuestionables.
Más allá de eso, podría valer la pena preguntarse si las ganancias en productividad de una herramienta tan poderosa valen los riesgos de seguridad que conlleva.
sujeto
Ciberseguridad con Inteligencia Artificial
