Investigadores de seguridad han revelado recientemente un conjunto de vulnerabilidades encadenadas que afectan al framework de IA de código abierto OpenClaw, conocido colectivamente como «Claw Chain». Estas cuatro vulnerabilidades pueden ser explotadas en secuencia por atacantes para ejecutar una cadena de ataque completa que va desde la intrusión inicial, el robo de credenciales, la escalada de privilegios hasta la implantación de puertas traseras persistentes. Actualmente, el equipo de mantenimiento de OpenClaw ha recibido el informe de la empresa de seguridad de datos Cyera y ha completado los parches de corrección para todas las vulnerabilidades.
Los cuatro fallos descubiertos tienen los identificadores CVE-2026-44112, CVE-2026-44115, CVE-2026-44118 y CVE-2026-44113. Entre ellos, CVE-2026-44118 (CVSS 7.8) es una vulnerabilidad de escalada de privilegios debida a una validación inadecuada de sesiones; CVE-2026-44113 (CVSS 7.8) es una vulnerabilidad TOCTOU (tiempo de verificación contra tiempo de uso) que permite a los atacantes acceder sin autorización a archivos de configuración del sistema, claves API, credenciales y otros datos sensibles. Las otras dos vulnerabilidades implican respectivamente la filtración de variables de entorno y riesgos de ejecución de código. Al combinarlas, se puede romper el perímetro de seguridad de los agentes de IA, amenazando los sistemas internos, entornos en la nube y aplicaciones SaaS conectados.
