Non molto tempo fa vi avevamo parlato di OpenClaw, dei suoi problemi di sicurezza e di come in poco tempo è diventato virale su GitHub, superando addirittura progetti come Linux per il numero di stelline. Proprio in questi giorni sono emersi altri problemi a seguito della CVE-2026-33579 ovvero una vulnerabilità di tipo Privilege Escalation sull’ istanza di OpenClaw.

Ricordiamoci che OpenClaw opera in modo autonomo e agisce direttamente sui nostri computer, con accesso praticamente illimitato al filesystem. Una vulnerabilità in questo tipo di software potrebbe compromettere l’intero contenuto del sistema, causare interruzioni dei servizi o, nel peggiore dei casi, consentire a soggetti malintenzionati di accedere a tutti i nostri dati.

La CVE-2026-33579 ha infatti una gravissima severity di 9.8/10 e permetterebbe ad un attaccante o chiunque abbia il livello di permesso più basso (operator.pairing) di ottenere silenziosamente i diritti di amministratore senza interazione dell’utente e senza exploit aggiuntivi. Una volta ottenuto l’accesso da amministratore, un attaccante può ovviamente leggere tutti i dati connessi, sottrarre credenziali ed eseguire comandi arbitrari sul sistema compromesso. I ricercatori di Blink hanno spiegato step-by-step le procedure di attacco e di compromissione di OpenClaw in un blog post. Si evidenzia che tutte le versioni di OpenClaw prima della 2026.3.28 sono vulnerabili.

Il problema principale che causa la vulnerabilità sta nel fatto che durante le richieste di pairing, come /pair approve [request-id], non viene chiamato il callerScopes, ovvero il contesto (con gli annessi livelli di privilegi) dell’utente che sta approvando il pairing. La funzione che valida i permessi in realtà valida solo se la richiesta è stata correttamente formata e se gli scope richiesti esistono veramente, ma non controlla di fatto se l’utente ha i permessi di approvare o meno la richiesta. L’effetto finale è che qualunque approve può essere validata con lo scope operator.admin causando la possibilità di avere il device dell’attaccante paired e con accesso di amministratore.

La situazione è inoltre aggravata dal fatto che il 63% delle 135.000 istanze esposte su Internet gira senza autenticazione, rendendo l’attacco accessibile a chiunque. Inoltre, le patch sono uscite di domenica ma la CVE ufficiale è arrivata solo martedì, lasciando due giorni di vantaggio agli attaccanti.

I ricercatori di Blink fanno notare che la sicurezza di OpenClaw è sotto continuo stress:

Six CVEs, six weeks, same attack surface. The OpenClaw team is actively patching, but the frequency of disclosures signals that the pairing subsystem has not yet undergone a full architectural security review

Sei CVE, sei settimane, stessa superficie di attacco. Il team di OpenClaw sta applicando attivamente le patch, ma la frequenza delle segnalazioni indica che il sottosistema di pairing non è stato ancora sottoposto a una revisione completa della sicurezza architetturale

Sul web la CVE è stata presa con ironia, ma anche con stupore, dato che sono spuntati diversi post, tra cui uno su Reddit che si intitola: “If you’re running OpenClaw, you probably got hacked in the last week” e uno su LinkedIn dove si sottolinea quanto sia vasta la superficie di attacco a seguito di questa vulnerabilità.

L’effetto diretto di tutte queste vulnerabilità sta portando già da tempo molte aziende, tra cui anche Meta, a rivalutare la possibilità di utilizzare OpenClaw su asset aziendali, impedendo di fatto l’utilizzo di questi strumenti a seguito di strette norme aziendali.

Per concludere, come suggerito da Blink, a tutti gli utilizzatori di OpenClaw si suggerisce di controllare la propria versione di OpenClaw, aggiornarla e monitorare i log di pairing dell’ultima settimana per capire se qualche attaccante ha sfruttato la vulnerabilità sulle istanze vulnerabili.