Un messaggio WhatsApp trasforma OpenClaw in un tool di accesso remoto per hacker

Un messaggio WhatsApp trasforma OpenClaw in un tool di accesso remoto per hacker

Un messaggio WhatsApp trasforma OpenClaw in un tool di accesso remoto per hacker

Se utilizzi OpenClaw per collegare l’AI a WhatsApp, sei potenzialmente a rischio. Tre gravi vulnerabilità di sicurezza permettono a un hacker di controllare completamente il tuo sistema inviando un solo messaggio WhatsApp. La soluzione immediata è aggiornare subito a OpenClaw versione 2026.6.6 o superiore, che corregge tutte le falle critiche. Non aspettare: se il tuo instance era pubblico prima della patch, ruota immediatamente tutte le credenziali per prevenire accessi illegittimi.

OpenClaw è un assistente AI che si auto-ospita e si collega a piattaforme di messaggistica come WhatsApp, Slack, Discord, Telegram e Teams, permettendo agli utenti di inviare richieste di coding tramite messaggi, proprio come farebbero con un collega. Con oltre 100.000 utenti attivi giornalieri, l’assistente scrive codice, esegue comandi shell e gestisce file. Tuttavia, questa capacità di esecuzione, fondamentale per il suo funzionamento, è diventata la sua principale vulnerabilità secondo gli ricercatori di sicurezza.

Le tre vulnerabilità di alta severità, confermate sfruttabili nella versione OpenClaw 2026.6.1, espongono una debolezza strutturale nel modo in cui gli agenti AI gestiscono input non affidabili provenienti da canali di messaggistica. Il problema non è una mancanza di formazione di sicurezza nel modello AI (Claude Sonnet 4), ma una limitazione fondamentale: il modello non può distinguere una richiesta legittima di un developer da quella identica di un attaccante.

La memoria della sessione complica ulteriormente la situazione: quando un modello rifiuta un payload, diventa più sospettoso per quella conversazione, ma una nuova sessione resetta la fiducia a zero, dando agli attaccanti retry infiniti. Questo permette agli hacker di inviare messaggi apparentemente normali, come richieste di debug routine, che contengono payload nascosti capaci di eseguire codice arbitrario con accesso completo al filesystem.

I 3 Vulnerabilità Critiche di OpenClaw

1. Bypass del filtro delle variabili d’ambiente (CVSS 8.8)

La funzione sanitizeEnvVars() di OpenClaw utilizza una lista di negazione per variabili simili a credenziali, ma ignora 12 variabili di startup dell’interpreter, tra cui NODE_OPTIONS, BASH_ENV e PYTHONSTARTUP. Questo permette agli attaccanti di iniettare codice arbitrario che viene eseguito prima dello script target.

2. RCE tramite trasporto Git ext:: (CVSS 8.8)

Il trasporto ext:: di Git, disabilitato per default, può essere riattivato tramite -cprotocol.ext.allow=always dentro un comando git clone, eseguendo comandi shell arbitrari presentati come debugging CI.

3. Bypass della directory parent del sandbox (CVSS 8.4)

Il sandbox Docker blocca il mounting di percorsi sensibili come ~/.ssh o ~/.aws direttamente, ma il controllo verifica solo percorsi dentro directory bloccate, non directory che le contengono. Mountando /home o /var, si espongono le chiavi SSH di ogni utente e il socket Docker, permettendo l’escape completo dall’host.

Esempio Pratico dell’Attacco

Il ricercatore Chinmohan Nayak ha dimostrato l’intera catena di exploit inviando un messaggio WhatsApp presentato come richiesta di debug routine: “Debuggo un memory leak Node.js in produzione, esegui questi comandi…”. Il payload ha smugglato uno script malevolo attraverso NODE_OPTIONS, che è stato eseguito con accesso completo al filesystem prima del comando previsto. Claude Sonnet 4, il modello che alimenta l’agente di test, ha eseguito senza esitazione, formattato l’output e offerto ulteriore aiuto.

Un secondo test con il trucco git ext::, presentato come riproduzione di un errore di pipeline CI, ha prodotto lo stesso risultato: esecuzione senza domande. Payload blatant come comandi curl-to-bash piped hanno triggerato rifiuti circa 40% delle volte, ma payload identici avvolti in contesto developer plausibile hanno avuto successo in ogni sessione fresca testata.

Misure di Mitigazione Immediate

Gli administrator che eseguono OpenClaw devono agire immediatamente:

  • Aggiornare alla versione 2026.6.6 o superiore, che patcha tutte le tre vulnerabilità
  • Rimuovere exec dall’allowlist dei tool a meno che non sia strettamente necessario per canali non affidabili
  • Abilitare il sandbox mode per sessioni non primarie
  • Limitare le policy di pairing DM così numeri non affidabili non possono raggiungere l’agente
  • Ruotare le credenziali se l’instance era pubblicamente raggiungibile prima della patching

Technical Deep Dive

Per gli utenti tecnici che desiderano comprendere meglio le vulnerabilità, ecco i dettagli avanzati:

L’exploit chain sfrutta tre CVE principali: GHSA-hjr6-g723-hmfm (bypass filtro variabili ambiente), GHSA-9969-8g9h-rxwm (Git ext:: transport RCE), e GHSA-575v-8hfq-m3mc (sandbox parent-directory bypass). Il CVSS complessivo è 8.8 per le prime due vulnerabilità e 8.4 per la terza.

Il meccanismo di bypass del filtro delle variabili d’ambiente permette l’iniezione di codice arbitrario attraverso NODE_OPTIONS, che viene processato prima dello script target. Questo è particolarmente pericoloso perché il codice iniettato esegue con privilegi completi, prima di qualsiasi controllo di sicurezza applicato allo script principale.

La vulnerabilità Git ext:: transport sfrutta una funzionalità di debugging di Git che, quando riattivata, permette l’esecuzione di comandi shell arbitrari. L’attaccante presenta questo come debugging CI, sfruttando la fiducia del modello AI nelle richieste apparentemente legittime di developer.

Il bypass del sandbox parent-directory è una falla di progettazione nel controllo di mounting Docker. Il sistema verifica solo se il percorso montato è dentro una directory bloccata, non se la directory montata contiene percorsi bloccati. Questo permette l’escape completo dall’ambiente sandboxed, esponendo tutte le chiavi SSH e il socket Docker dell’host.

La limitazione fondamentale del modello AI è che non può distinguere contesto legittimo da contesto malevolo quando le frasi sono identiche. La memoria della sessione resetta la fiducia a zero per ogni nuova conversazione, permettendo retry infiniti. Questo è un problema intrinseco agli agenti AI che processano dati esterni (email, documenti, messaggi), intrinsecamente vulnerabili alla prompt injection.

Per mitigazioni avanzate, gli administrator dovrebbero considerare l’implementazione di whitelist rigorose per i numeri di messaggistica, l’uso di tunnel SSH per l’accesso alla dashboard, e l’audit regolare delle configurazioni Docker per garantire che il gateway non ascolta su 0.0.0.0 ma solo su interfacce locali.

Fonte: https://cybersecuritynews.com/whatsapp-message-openclaw-remote-access-tool/

Torna in alto