A empresa portuguesa de cibersegurança Ethiack descobriu uma vulnerabilidade crítica na plataforma de open source de assistente virtual OpenClaw, uma solução com crescente adoção na comunidade de tecnologia e inteligência artificial (IA).
A descoberta, realizada de forma autónoma pelo agente de IA da Ethiack em menos de duas horas, revela uma cadeia de falhas que, em conjunto, permitem a um atacante obter controlo total do sistema da vítima com um único clique.
A vulnerabilidade foi classificada como Remote Code Execution (RCE), considerada o tipo de falha mais grave em cibersegurança.
O ataque explorava uma falha no OpenClaw quando um utilizador visitava um website malicioso, permitindo roubar a chave de acesso armazenada no browser. Com esta informação, o atacante ganhava acesso total à plataforma e capacidade para executar qualquer comando no computador da vítima.
A plataforma OpenClaw, que permite criar assistentes pessoais de IA acessíveis via aplicações como o Telegram, tem sido instalada por utilizadores em servidores públicos, muitas vezes com configurações de segurança inadequadas.
Após o reporte da falha aos responsáveis do OpenClaw, a correção foi implementada em 48 horas.
André Baptista, fundador e CTO da Ethiack, sublinhou: “A principal lição a tirar desta descoberta é a de que quando a IA constrói mais rápido do que nunca, a IA deve testar mais do que nunca. Esta descoberta demonstra, ainda, que é possível e cada vez mais necessário usar a IA para defender sistemas que são, eles próprios, construídos com IA”.
