Onderzoeker beschrijft WhatsApp-naar-Host-aanvalsketen met behulp van drie OpenClaw-fouten

Er zijn details naar voren gekomen over drie inmiddels gepatchte beveiligingsfouten in de persoonlijke kunstmatige intelligentie (AI)-assistent van OpenClaw die, indien succesvol uitgebuit, diefstal van inloggegevens, escalatie van bevoegdheden en uitvoering van willekeurige code op de host mogelijk zouden kunnen maken.

Een korte beschrijving van de zeer ernstige kwetsbaarheden is als volgt:

  • GHSA-hjr6-g723-hmfm (CVSS-score: 8,8) – Een opdrachtinjectie in het besturingssysteem en een onvolledige lijst met niet-toegestane invoerkwetsbaarheid die van invloed zijn op het filtermechanisme van de hostuitvoeringsomgeving, waardoor acties kunnen worden uitgevoerd of voortgezet die verder gaan dan de bedoelde autorisatie van de beller.
  • GHSA-9969-8g9h-rxwm (CVSS-score: 8,8) – Een opdrachtinjectie in het besturingssysteem en een onvolledige lijst met niet-toegestane invoerkwetsbaarheid die van invloed zijn op het filtermechanisme van de hostuitvoeringsomgeving, waardoor acties kunnen worden uitgevoerd of voortgezet die verder gaan dan de bedoelde autorisatie van de beller.
  • GHSA-575v-8hfq-m3mc (CVSS-score: 8,4) – Een kwetsbaarheid bij het volgen van paden en het volgen van links, waardoor sandbox-bindkoppelingen de controles op de weigeringslijst van bovenliggende mappen kunnen omzeilen en acties kunnen uitvoeren die beveiligd hadden moeten worden met strengere autorisatie- of beleidscontroles.

Alle drie de tekortkomingen zijn verholpen in OpenClaw versie 2026.6.6.

In een reeks adviezen die vorige week zijn uitgebracht, zeiden OpenClaw-beheerders dat “de praktische impact afhangt van de configuratie van de operator en of input met een lager vertrouwen dat pad kan bereiken.”

Beveiligingsonderzoeker Chinmohan Nayak, die wordt gecrediteerd voor het ontdekken en rapporteren van de problemen, zei echter in een rapport gedeeld met The Hacker News dat ze kunnen worden gebruikt om de uitvoering van hostcode te activeren vanuit een extern bericht dat via WhatsApp wordt verzonden.

In tegenstelling tot de Claw Chain-kwetsbaarheden die Cyera in mei onthulde, vereisen de nieuw geïdentificeerde bugs niet dat een aanvaller vooraf voet aan de grond moet krijgen om gevoelige gegevens te extraheren, een hardnekkige achterdeur te laten vallen, willekeurige uitvoering van externe code te verkrijgen en een ontsnapping naar de host te vergemakkelijken.

“`getBlockedReasonForSourcePath()` controleert of het bronpad zich onder een geblokkeerd pad bevindt”, legde de onderzoeker uit over GHSA-575v-8hfq-m3mc. “Maar (het) controleert nooit het omgekeerde: of een geblokkeerd pad zich onder de bron bevindt (overbrugging van de bovenliggende map).”

Concreet blokkeert de bind mount denylist mappen als “~/.ssh”, “~/.aws” en “~/.gnupg”, maar maakt het mogelijk om de bovenliggende map “/home” of “/var” te koppelen, waardoor de individuele blokken effectief worden ondermijnd.

“Monteer /home in uw container en u kunt de SSH-sleutels, AWS-inloggegevens en GPG-geheimen van elke gebruiker lezen”, zei Nayak. “Mount /var en je krijgt de Docker-socket – wat betekent dat de volledige host vanuit de ‘sandbox’ kan ontsnappen.”

Naast het updaten van OpenClaw naar de nieuwste versie, wordt geadviseerd om de sandbox-modus in te schakelen voor alle niet-hoofdsessies, “exec” te verwijderen van de toelatingslijst voor kanaalgerichte agenten, en te controleren op git clone-opdrachten die de “ext::” externe protocolhelper bevatten die misbruikt kunnen worden om willekeurige systeemopdrachten uit te voeren.

“Beperk vóór het upgraden de getroffen functie tot vertrouwde operators of schakel deze uit wanneer deze niet nodig is”, aldus OpenClaw. “Als algemene verharding: houd de toelatingslijsten voor kanalen en tools beperkt, vermijd het delen van één gateway tussen onderling niet-vertrouwde gebruikers en schakel de betrokken functie uit wanneer deze niet nodig is.”

Thijs Van der Does