Voltar as noticias
CVE-2026-25253: Sequestro de WebSocket transforma seu agente de IA em uma ferramenta de ataque
AI CrawlersAltaEN

CVE-2026-25253: Sequestro de WebSocket transforma seu agente de IA em uma ferramenta de ataque

Dev.to - MCP·3 de março de 2026

OpenClaw é uma plataforma de agente de IA de código aberto. Ela conecta agentes a ferramentas, outros agentes e à internet através de um servidor gateway.

CVE-2026-25253 (CVSS 8.8) é uma vulnerabilidade de sequestro de WebSocket entre sites no gateway do OpenClaw. Um único link malicioso dá ao atacante controle total sobre as ferramentas do seu agente, configurações de sandbox e acesso ao host. A vulnerabilidade foi divulgada por depthfirst.com e independentemente por Ethiack. O OpenClaw publicou um aviso ao fornecedor e a correção está na versão 2026.1.29 e posteriores.

A cadeia de ataque

Cinco etapas. Cada uma se baseia na anterior.

Etapa 1: Clique em um link. A vítima (alguém executando um agente OpenClaw) clica em um link de uma mensagem de chat, e-mail ou postagem em fórum. A página do atacante carrega em seu navegador.

Etapa 2: WebSocket para localhost. O JavaScript do atacante abre uma conexão WebSocket com o gateway OpenClaw da vítima. De acordo com a descrição da NVD, o gateway obtém uma gatewayUrl de uma string de consulta e se conecta automaticamente sem solicitar, enviando um valor de token.

Etapa 3: Roubar o token de autenticação. A página do atacante recebe o token de autenticação do gateway através da conexão WebSocket.

Etapa 4: Desativar o sandbox. Usando o token roubado, o atacante envia chamadas de ferramentas que desativam as proteções de segurança e restrições de sandbox do OpenClaw.

Etapa 5: Execução remota de código. O atacante invoca node.invoke (ou ferramentas de execução semelhantes) para executar comandos arbitrários na máquina host.

A cadeia inteira leva segundos. A vítima não vê nada de incomum. O agente dela agora é a ferramenta do atacante.

Por que isso importa além do OpenClaw

Este CVE é específico do OpenClaw (falta de validação de origem na negociação do WebSocket), mas o padrão não é. Qualquer plataforma de agente de IA que expõe um WebSocket ou ponto de extremidade HTTP no localhost é um alvo para ataques entre sites. O agente possui credenciais, acesso a ferramentas e alcance de rede. Uma sessão sequestrada herda tudo isso.

O ataque não requer nenhuma vulnerabilidade no modelo de IA. Não requer injeção de prompt. É uma falha clássica de segurança da web aplicada a um gateway de agente, e dá ao atacante o conjunto completo de capacidades do agente.

Defesa em profundidade: capturando a exploração a jusante

A validação de origem na negociação do WebSocket é a correção certa para o CVE em si (e o patch upstream aborda isso). Mas a defesa em profundidade significa capturar tentativas de exploração mesmo que a correção de nível de negociação ainda não esteja implantada ou seja contornada por uma variante futura.

Pipelock fica entre o agente e o gateway, escaneando todo o tráfego MCP em ambas as direções. Aqui está o que cada camada de escaneamento captura nesta cadeia de ataque:

Etapa do ataque O que o pipelock faz Camada de escaneamento
Roubo de token via negociação WS Não mitigado (requer modo ouvinte WS, ainda não implementado) (planejado)
Desativação de sandbox via chamada de ferramenta A política de ferramentas bloqueia invocações de ferramentas perigosas por nome/padrão Política de ferramentas MCP
RCE via node.invoke Regras de negação para padrões de ferramentas shell/exec Política de ferramentas MCP
Exfiltração de dados via argumentos de ferramenta Escaneamento de entrada captura segredos em argumentos de ferramentas de saída Escaneamento de entrada MCP
Injeção em respostas de ferramentas Escaneamento de resposta detecta padrões de injeção nos resultados das ferramentas Escaneamento de resposta MCP
Sequências de leitura e exfiltração Detecção de cadeia combina padrões de ataque em múltiplas etapas Detecção de cadeia
Exfiltração HTTP de saída Pipeline de escaneamento de URL de 9 camadas, DLP em todas as solicitações de saída Proxy HTTP

Quando o tráfego MCP passa pelo pipelock, ele mitiga as etapas a jusante nesta cadeia: política de ferramentas, escaneamento de entrada, escaneamento de resposta, detecção de cadeia e DLP disparam em atividades pós-compromisso. O roubo inicial do token (a própria negociação WS) é a etapa que requer o patch de validação de origem upstream.

Configuração de um comando

O comando generate mcporter envolve sua configuração existente do OpenClaw com escaneamento pipelock:

# Instalar
brew install luckyPipewrench/tap/pipelock

# Gerar uma configuração de escaneamento (ou usar uma das predefinições em configs/)
pipelock generate config --preset balanced > pipelock.yaml

# Envolver todos os servidores MCP em sua configuração
pipelock generate mcporter -i mcporter.json --in-place --backup

O tráfego MCP do seu agente agora passa pelo pipelock antes de chegar ao gateway OpenClaw. O gerador é idempotente (executá-lo duas vezes produz a mesma saída) e cria um backup .bak.

Antes de envolver:

{
  "mcpServers": {
    "openclaw": {
      "command": "openclaw",
      "args": ["connect", "--gateway", "ws://localhost:3000/mcp"]
    }
  }
}

Depois de envolver:

{
  "mcpServers": {
    "openclaw": {
      "command": "pipelock",
      "args": [
        "mcp", "proxy",
        "--config",
Contexto Triplo Up

A vulnerabilidade destaca a importância da segurança em plataformas de agentes de IA, especialmente para empresas que utilizam OpenClaw. A adoção de práticas de segurança robustas é essencial para proteger dados e operações contra ataques cibernéticos.

Ver fonte original

Noticias relacionadas

Como Criar um Arquivo llms.txt para Seu Site em 5 Minutos
AI CrawlersAlta

Como Criar um Arquivo llms.txt para Seu Site em 5 Minutos

Aprenda a criar um arquivo llms.txt, uma ferramenta essencial para comunicar informações do seu site a sistemas de IA, aumentando a visibilidade e citações da sua marca.

Dev.to - LLMs·11 de abril de 2026
EN
IA Consciente de Produção: Dando Contexto Real de Depuração para LLMs
AI CrawlersMedia

IA Consciente de Produção: Dando Contexto Real de Depuração para LLMs

Modelos de linguagem enfrentam desafios na depuração em produção devido à falta de visibilidade na execução do código. A coleta de dados em tempo real pode melhorar a precisão e confiabilidade da depuração.

Dev.to - MCP·9 de abril de 2026
EN
As Visões de IA do Google estão corretas nove em cada dez vezes, diz estudo
AI CrawlersMedia

As Visões de IA do Google estão corretas nove em cada dez vezes, diz estudo

Um estudo analisou 4.326 buscas no Google e encontrou que as Visões de IA do Google estavam corretas 85% das vezes com Gemini 2 e 91% com Gemini 3, mas a verificabilidade das respostas diminuiu.

The Decoder (AI)·7 de abril de 2026
EN

Gostou do conteudo?

Receba toda semana as principais novidades sobre WebMCP.