Empresa portuguesa identifica falha crítica no OpenClaw

A Ethiack anunciou a descoberta de uma vulnerabilidade crítica na plataforma open source OpenClaw, realizada pelo seu agente de pentesting baseado em Inteligência Artificial (IA).

A falha, identificada como CVE-2026-25253, permite execução remota de código (RCE), possibilitando a um atacante assumir controlo total do sistema da vítima. A vulnerabilidade foi detetada de forma autónoma pelo agente Hackian em cerca de uma hora e 40 minutos.

O OpenClaw é uma ferramenta que permite criar assistentes virtuais com acesso direto ao sistema do utilizador, frequentemente integrados com aplicações de mensagens como o Telegram. A sua adoção crescente levou à implementação em servidores públicos, muitas vezes com configurações de segurança inadequadas.

Segundo a Ethiack, o ataque explorava uma cadeia de falhas que permitia roubar o token de autenticação armazenado no browser da vítima. Através desse acesso, um atacante poderia executar comandos remotamente no sistema, mesmo em instalações locais.

O processo de descoberta foi conduzido de forma totalmente autónoma, com o agente Hackian a realizar reconhecimento da aplicação, análise de código JavaScript e identificação de comportamentos anómalos nas comunicações internas da plataforma.

A vulnerabilidade foi reportada aos responsáveis do OpenClaw seguindo práticas de divulgação responsável, tendo sido corrigida em menos de 48 horas.

Este caso evidencia o potencial da utilização de inteligência artificial na identificação de vulnerabilidades, num contexto em que aplicações baseadas em IA estão a ganhar complexidade e adoção. A crescente automatização do desenvolvimento e operação de software reforça a necessidade de mecanismos avançados de teste e validação de segurança.