सुरक्षा शोधकर्ताओं ने हाल ही में OpenClaw ओपन-सोर्स AI एजेंट फ्रेमवर्क में एक साथ कई खामियों का पर्दाफाश किया है, जिन्हें सामूहिक रूप से "Claw Chain" नाम दिया गया है। ये चार कमजोरियाँ एक-दूसरे से जुड़ी हो सकती हैं, जिससे हमलावर प्रारंभिक घुसपैठ, क्रेडेंशियल चोरी, अनुमति बढ़ोतरी और फिर स्थायी बैकडोर स्थापित करने तक का पूरा अटैक चेन तैयार कर सकते हैं। फिलहाल, OpenClaw की मेंटेनेंस टीम ने डेटा सुरक्षा कंपनी Cyera की रिपोर्ट प्राप्त कर ली है और सभी कमजोरियों के लिए पैच जारी कर दिए हैं।
इस बार सामने आई चार कमजोरियों के CVE कोड CVE-2026-44112, CVE-2026-44115, CVE-2026-44118 और CVE-2026-44113 हैं। इनमें CVE-2026-44118 (CVSS 7.8) सेशन वेरिफिकेशन में कमी के कारण अनुमति बढ़ोतरी की समस्या है; वहीं CVE-2026-44113 (CVSS 7.8) एक TOCTOU (Check Time vs Use Time) खामी है, जिससे हमलावर सिस्टम कॉन्फ़िगरेशन फ़ाइलों, API कीज़, क्रेडेंशियल्स और अन्य संवेदनशील डेटा को बिना अधिकार के एक्सेस कर सकता है। बाकी दो कमजोरियाँ एनवायरनमेंट वेरिएबल लीक और कोड एक्सीक्यूशन जोखिम से संबंधित हैं—इन्हें एक साथ जोड़कर हमलावर AI एजेंट की सुरक्षा सीमा तोड़ सकते हैं और उससे जुड़े इंटरनल सिस्टम, क्लाउड एनवायरनमेंट और SaaS ऐप्स को खतरे में डाल सकते हैं।
