INSPECTING ARCHIVED INTELLIGENCE (OUTDATED VERSION).
ClawJacked Vulnerability Exploited via Malicious Links
| 2026-02-27 16:39 HIGH HIGHExecutive Summary AI-generated
The recent discovery of a critical vulnerability in OpenClaw, dubbed ClawJacked, has exposed the potential for malicious actors to hijack AI agents. This flaw, which was identified by researchers at Oasis Security and revealed through WebSockets, allows attackers to gain admin-level permission on affected systems and access sensitive information such as private Slack messages, API keys, and files. The vulnerability is particularly concerning given its rapid success, with the tool exploding in popularity just weeks after being released. Experts warn that this incident should serve as a wake-up call for identity security, highlighting the need to treat AI agents as highly privileged systems.
Technical Mitigations AI-generated
* Verify local connections: Before connecting to a website, verify that the connection is coming from the user's own machine (localhost) and not a malicious link. This can be done by checking if the URL starts with "http://localhost/" or "/api/". If it does, consider using a more secure protocol like HTTPS.
* Use secure authentication mechanisms: Ensure that any authentication mechanism used in OpenClaw is secure and properly implemented. Consider using token-based authentication, OAuth, or other secure protocols to prevent unauthorized access.
* Limit password guessing attempts: Implement rate limiting on password guessing attempts for users connecting from the same machine. This can be done by checking if a user has already attempted to guess their password within a certain time frame (e.g., 60 seconds).
* Implement WebSocket encryption: Use end-to-end encrypted WebSockets when communicating with OpenClaw's API. This will prevent eavesdropping and tampering attacks.
* Regularly update dependencies: Regularly update all dependencies, including libraries and frameworks used in OpenClaw, to ensure that any known vulnerabilities are patched before they can be exploited by attackers.
Note: These mitigations may not completely eliminate the risk of a successful attack, but they can help reduce it.
Technical Observables
Intelligence Metadata
Actors / Malware / CVEs / Campaigns
CVE-2026-25253CVE-2026-25253
Target & Sectors
Global Scope
technologytechnology
Incident Timeline
Febrero 02, 2026
Threat actors used a previously unknown vulnerability in OpenClaw to gain unauthorized access and potentially hijack AI agents controlling websites.
2026-02-27
OpenClaw es una plataforma de agentes abiertos que permite a los usuarios configurar y utilizar sus propios entornos de desarrollo personalizados.
Click on any entity below to view its context and source!
organisation
The Oasis Research
The Oasis Research team has just released details on ClawJacked (
CVE-2026-25253
), a significant vulnerability chain that effectively allowed any website to take over a person’s AI agent.
organisation
ClawJacked
The Oasis Research team has just released details on ClawJacked (
CVE-2026-25253
), a significant vulnerability chain that effectively allowed any website to take over a person’s AI agent.
organisation
el 30
La cuestión, que se sigue
CVE-2026-25253
(CVSS score: 8.8), se ha abordado en
versión 2026.1.29
liberado el 30 de enero de 2026.
infrastructure
2026.2.25
If you are using this tool, you need to update to version 2026.2.25 or later immediately to stay safe.
organisation
ClawJacked Vulnerability
ClawJacked Vulnerability in OpenClaw Could Let Websites Hijack AI Agents.
organisation
OpenAI’s Sam Altman
It even caught the eye of OpenAI’s Sam Altman, who recently
brought
Steinberger on board, calling him a genius.
organisation
Oasis Security
But according to researchers at Oasis Security, that rapid success came with a hidden danger.
organisation
The Silent Hijack
Oasis’s
The Silent Hijack
Oasis’s research revealed a clever trick involving WebSockets.
organisation
WebSockets
The Silent Hijack
Oasis’s research revealed a clever trick involving WebSockets.
organisation
WebSocket
However, this is a dangerous assumption; if a developer running OpenClaw accidentally landed on a malicious website, a hidden script on that page could quietly reach out through a
WebSocket
and talk directly to the AI tool running in the background.
El problema es que hacer clic en el enlace a esa página web es suficiente para desencadenar un ataque de secuestro WebSocket cruzado porque el servidor de OpenClaw
organisation
el enlace a esa página
El problema es que hacer clic en el enlace a esa página web es suficiente para desencadenar un ataque de secuestro WebSocket cruzado porque el servidor de OpenClaw
organisation
un ataque de secuestro
El problema es que hacer clic en el enlace a esa página web es suficiente para desencadenar un ataque de secuestro WebSocket cruzado porque el servidor de OpenClaw
organisation
el servidor de OpenClaw
El problema es que hacer clic en el enlace a esa página web es suficiente para desencadenar un ataque de secuestro WebSocket cruzado porque el servidor de OpenClaw
organisation
API
The Fix
Once the script guessed the password, the attacker gained admin-level permission, and from this position, they could read private Slack messages, steal API keys, and even command the AI to search for and exfiltrate files from the computer.
organisation
OpenClaw
Thankfully, the OpenClaw team’s response was incredibly fast.
organisation
Hackread.com
Expert Perspectives
In response to the discovery, the following insights were shared with Hackread.com.
organisation
Noma Security
Diana Kelley, Chief Information Security Officer at Noma Security, notes that this is a vital reminder that AI agents must be treated as highly privileged systems.
organisation
Cequence Security
Randolph Barr, Chief Information Security Officer at Cequence Security, points out that this flaw, dubbed “ClawJacked,” highlights a gap where product usefulness grew faster than security.
organisation
SailPoint
Mark McClain, Chief Executive Officer at SailPoint, concludes that this incident should be a wake-up call for identity security.
organisation
Vulnerabilidad / Inteligencia Artificial
Ravie Lakshmanan
Febrero 02, 2026
Vulnerabilidad / Inteligencia Artificial
Se ha revelado un defecto de seguridad de alta gravedad
OpenClaw
(anteriormente denominado Clawdbot y Moltbot) que podrían permitir la ejecución remota del código (RCE) a través de un vínculo malicioso elaborado.
organisation
defecto de seguridad de alta gravedad
Ravie Lakshmanan
Febrero 02, 2026
Vulnerabilidad / Inteligencia Artificial
Se ha revelado un defecto de seguridad de alta gravedad
OpenClaw
(anteriormente denominado Clawdbot y Moltbot) que podrían permitir la ejecución remota del código (RCE) a través de un vínculo malicioso elaborado.
organisation
remota del código
Ravie Lakshmanan
Febrero 02, 2026
Vulnerabilidad / Inteligencia Artificial
Se ha revelado un defecto de seguridad de alta gravedad
OpenClaw
(anteriormente denominado Clawdbot y Moltbot) que podrían permitir la ejecución remota del código (RCE) a través de un vínculo malicioso elaborado.
organisation
un
Se ha descrito como una vulnerabilidad de exfiltración token que conduce a un compromiso de puerta completa.
organisation
El Control UI
"El Control UI confía en gatewayUrl desde la cadena de consulta sin validación y autoconexión en carga, enviando el token de puerta almacenada en el WebSocket conecta la carga útil", el creador y el encargado de OpenClaw Peter Steinberger
dijo:
en un asesor.
organisation
el WebSocket
"El Control UI confía en gatewayUrl desde la cadena de consulta sin validación y autoconexión en carga, enviando el token de puerta almacenada en el WebSocket conecta la carga útil", el creador y el encargado de OpenClaw Peter Steinberger
dijo:
en un asesor.
organisation
el encargado de
"El Control UI confía en gatewayUrl desde la cadena de consulta sin validación y autoconexión en carga, enviando el token de puerta almacenada en el WebSocket conecta la carga útil", el creador y el encargado de OpenClaw Peter Steinberger
dijo:
en un asesor.
organisation
políticas de herramientas
El atacante puede conectarse a la puerta de entrada local de la víctima, modificar el config (sandbox, políticas de herramientas), e invocar acciones privilegiadas, logrando un clic en RCE".
organisation
autónomo de inteligencia
OpenClaw es un asistente personal autónomo de inteligencia artificial (AI) de código abierto que funciona localmente en dispositivos de usuario e integra con una amplia gama de plataformas de mensajería.
organisation
funciona desde
"OpenClaw es una plataforma de agentes abiertos que funciona en su máquina y funciona desde las aplicaciones de chat que ya utiliza", Steinberger
dijo:
"A diferencia de los asistentes de SaaS donde sus datos viven en los servidores de otra persona, OpenClaw corre donde usted elige: portátil, homelab o VPS.
organisation
los servidores de otra
"OpenClaw es una plataforma de agentes abiertos que funciona en su máquina y funciona desde las aplicaciones de chat que ya utiliza", Steinberger
dijo:
"A diferencia de los asistentes de SaaS donde sus datos viven en los servidores de otra persona, OpenClaw corre donde usted elige: portátil, homelab o VPS.
organisation
VPS
"OpenClaw es una plataforma de agentes abiertos que funciona en su máquina y funciona desde las aplicaciones de chat que ya utiliza", Steinberger
dijo:
"A diferencia de los asistentes de SaaS donde sus datos viven en los servidores de otra persona, OpenClaw corre donde usted elige: portátil, homelab o VPS.
organisation
cadena de explotación
Sus datos."
Mav Levin, investigador fundador de seguridad en profundidad primero que se acredita con descubrir la deficiencia,
dijo:
se puede explotar para crear una cadena de explotación RCE de un solo clic que toma sólo milisegundos después de que una víctima visita una sola página web maliciosa.
organisation
RCE de un
Sus datos."
Mav Levin, investigador fundador de seguridad en profundidad primero que se acredita con descubrir la deficiencia,
dijo:
se puede explotar para crear una cadena de explotación RCE de un solo clic que toma sólo milisegundos después de que una víctima visita una sola página web maliciosa.
organisation
el encabezado de origen
no valida el encabezado de origen WebSocket.
organisation
el servidor
Esto hace que el servidor acepte solicitudes de cualquier sitio web, consiguiendo efectivamente restricciones de red localhost.
organisation
el token robado
Una página web maliciosa puede aprovechar el problema para ejecutar JavaScript lado del cliente en el navegador de la víctima que puede recuperar un token de autenticación, establecer una conexión WebSocket con el servidor, y utilizar el token robado para evitar la autenticación y conectarse a la instancia OpenClaw de la víctima.
organisation
aprobaciones de alcances
aprobaciones de alcances, el atacante puede utilizar la API para desactivar
organisation
de un LLM
"
Cuando se le preguntó si el uso de OpenClaw de la API para gestionar las características de seguridad constituye una limitación arquitectónica, Levin dijo a The Hacker News en una respuesta por correo electrónico que, "Yo diría que el problema es que esas defensas (sandbox y salvaguardas de seguridad) fueron diseñadas para contener acciones maliciosas de un LLM, como resultado de la inyección rápida, por ejemplo.
organisation
los usuarios
Y los usuarios podrían pensar que estas defensas protegerían de esta vulnerabilidad (o limitar el radio de explosión), pero no lo hacen".
organisation
limitar el radio de explosión
Y los usuarios podrían pensar que estas defensas protegerían de esta vulnerabilidad (o limitar el radio de explosión), pero no lo hacen".
organisation
UI Control
"Importa cualquier implementación de Moltbot donde un usuario ha autenticado a la UI Control.
organisation
el host de la puerta de entrada
El atacante obtiene acceso a nivel de operador a la API de la puerta de entrada, permitiendo cambios arbitrarios de configuración y ejecución de código en el host de la puerta de entrada.
organisation
El ataque funciona
El ataque funciona incluso cuando la puerta se une a la vuelta porque el navegador de la víctima actúa como el puente."
Tactical Metrics
Metrics
infrastructure
2026.2.25
Software Version
Click for context!
If you are using this tool, you need to update to version 2026.2.25 or later immediately to stay safe.
Intelligence Sources
The Hacker News
2026-02-02
HackRead
2026-02-27
Unpublish from Social Media?
Are you sure you want to delete this podcast video from all synchronized social networks (YouTube, Facebook, Threads)?
Important:
Due to Meta API restrictions, Instagram Reels cannot be deleted automatically via API by third-party apps.
View Profile to Delete Manually
View Profile to Delete Manually
Tactical Intelligence
Report Intelligence Issue
Podcast Options
Generate
Incident Version History
CURRENT VERSION
Last Updated: 2026-04-27T07:33
Comprehensive Tactical Telemetry
Highly Correlated Entities
42x
organisation
Identified Entity
The Oasis Research
entity
2x
timeline
Temporal Reference
Febrero 02, 2026
date
2x
tactic
MITRE ATT&CK Technique
T1204.001 - Malicious Link
technique
Contextual Telemetry
Context Block
11 METRICS
industry
Targeted Sector
Technology
sector
general metric
Malicious Skills
1,000
malicious skills
vulnerability
Exploited CVE
CVE-2026-25253
cve
infrastructure
Software Version
2026.2.25
version
general metric
Github Stars
100,000
github stars
general metric
Hours
24
hours
tactic
Cyber Operation Type
Remote Code Execution
tactic
general metric
La Cuestión
9
la cuestión
general metric
El
30
el
general metric
Ha En Versión 2026.1.29 Liberado
2,026
ha en versión 2026.1.29 liberado
general metric
Febrero
2
febrero
Click on any entity below to view its context in the main text!
Selective Unpublish
Selecciona las redes de las que quieres eliminar esta publicación. El sistema intentará borrar el post real de la API y limpiará la base de datos para que puedas volver a lanzarlo.
By navigating this website, you accept the use of strictly necessary technical cookies for session security and basic platform functionality. We do not use tracking or advertising cookies.
Read our Privacy Policy.