Riepilogo della divulgazione
Il 6 febbraio 2026, il team di sicurezza di OpenClaw ha ricevuto un rapporto di divulgazione responsabile da un ricercatore di sicurezza indipendente che identificava una vulnerabilita critica in "DataBridge", uno degli skill piu ampiamente installati sul marketplace di ClawHub. La vulnerabilita, ora tracciata come CVE-2026-1847, consentiva a un payload di input appositamente creato di aggirare le protezioni di sandboxing dello skill e ottenere accesso in lettura non autorizzato alle variabili d'ambiente del sistema host. Nel caso peggiore, questo avrebbe potuto esporre chiavi API, credenziali di database e altri dati di configurazione sensibili memorizzati nell'ambiente di deployment di un operatore OpenClaw.
Entro 12 ore dalla ricezione del rapporto, il team di sicurezza di OpenClaw aveva confermato la vulnerabilita, notificato il maintainer dello skill e emesso un avviso temporaneo raccomandando a tutti gli utenti di DataBridge di disabilitare lo skill in attesa di una patch. Una correzione e stata pubblicata su ClawHub entro 36 ore dal rapporto iniziale, e tutti gli utenti interessati sono stati notificati attraverso il sistema di aggiornamento automatico di ClawHub. Al momento della stesura, non ci sono prove che la vulnerabilita sia stata sfruttata prima della divulgazione.
Il team di OpenClaws.io vuole utilizzare questo incidente come opportunita per essere trasparenti su cosa e successo, come abbiamo risposto e cosa stiamo facendo per prevenire problemi simili in futuro.
Dettagli tecnici
La vulnerabilita risiedeva nel modulo di parsing dell'input di DataBridge, responsabile dell'elaborazione di dati strutturati da fonti esterne e della loro messa a disposizione degli agenti OpenClaw. Il modulo utilizzava una routine di deserializzazione personalizzata che, in condizioni specifiche, non sanitizzava correttamente l'input contenente metacaratteri shell incorporati. Quando un agente elaborava un payload di dati creato in modo malevolo, la routine di deserializzazione passava inavvertitamente stringhe non sanitizzate a una chiamata di sottoprocesso, abilitando una forma limitata di command injection.
L'escape dal sandbox e stato possibile perche DataBridge aveva ricevuto permessi elevati durante il processo di revisione su ClawHub. La funzionalita dichiarata dello skill, collegare dati tra API esterne e agenti OpenClaw, richiedeva accesso a risorse di rete e determinate operazioni a livello di sistema. Il team di revisione aveva approvato questi permessi sulla base di una revisione approfondita del codice al momento dell'invio. Tuttavia, un aggiornamento successivo dello skill ha introdotto il codice di deserializzazione vulnerabile, e il processo di revisione incrementale non ha rilevato la regressione.
E importante notare che la vulnerabilita era limitata da diversi fattori. Primo, richiedeva che l'attaccante controllasse o manipolasse la fonte dati esterna che DataBridge era configurato per consumare. Secondo, la command injection era limitata a operazioni di lettura: l'attaccante non poteva scrivere sul filesystem o eseguire programmi arbitrari. Terzo, la configurazione di sicurezza predefinita di OpenClaw limita le variabili d'ambiente visibili agli skill, il che avrebbe ridotto l'impatto per gli operatori che non avevano modificato le impostazioni predefinite.
Cronologia degli eventi
La seguente cronologia documenta gli eventi chiave dalla scoperta iniziale alla risoluzione:
- •6 febbraio, 08:14 UTC: Il ricercatore di sicurezza invia il rapporto di vulnerabilita attraverso il programma di divulgazione responsabile di OpenClaw.
- •6 febbraio, 09:30 UTC: Il team di sicurezza di OpenClaw conferma la ricezione e inizia il triage.
- •6 febbraio, 14:22 UTC: Vulnerabilita confermata e classificata come Critica (CVSS 8.6).
- •6 febbraio, 15:00 UTC: Maintainer di DataBridge notificato tramite canale sicuro.
- •6 febbraio, 16:45 UTC: Avviso temporaneo pubblicato; ClawHub contrassegna DataBridge con un avviso di sicurezza.
- •6 febbraio, 20:30 UTC: Il maintainer di DataBridge invia la patch iniziale per revisione.
- •7 febbraio, 03:15 UTC: Il team di sicurezza identifica un caso limite aggiuntivo nella patch iniziale; richiede revisione.
- •7 febbraio, 14:00 UTC: Patch rivista inviata e approvata dopo test completi.
- •7 febbraio, 20:00 UTC: Versione corretta (DataBridge v2.4.1) pubblicata su ClawHub.
- •7 febbraio, 20:15 UTC: Notifiche automatiche inviate a tutti gli utenti DataBridge raccomandando aggiornamento immediato.
- •8 febbraio, 10:00 UTC: Avviso di sicurezza pubblico pubblicato con dettagli tecnici completi.
Risposta della community
La risposta della community a questo incidente e stata esemplare. Entro poche ore dall'avviso iniziale, diversi membri esperti della community si sono offerti volontari per verificare altri skill ad alto livello di permessi su ClawHub alla ricerca di vulnerabilita simili. Questa revisione di sicurezza ad-hoc, che alla fine ha coinvolto oltre 40 contributori, ha esaminato i 100 skill piu installati e ha identificato tre ulteriori istanze di pattern di deserializzazione potenzialmente non sicuri, nessuno dei quali raggiungeva il livello di una vulnerabilita sfruttabile ma tutti sono stati segnalati per la correzione.
La risposta del maintainer di DataBridge e stata altrettanto encomiabile. E stato trasparente sull'errore, ricettivo al feedback del team di sicurezza e proattivo nella comunicazione con i suoi utenti. In un post sul forum di OpenClaw, ha fornito un post-mortem dettagliato spiegando come il codice vulnerabile e stato introdotto e quali passi stava intraprendendo per prevenire problemi simili in futuro.
Lezioni apprese e cambiamenti di policy
Questo incidente ha motivato diversi cambiamenti concreti nei processi di sicurezza di ClawHub. Vogliamo condividerli apertamente affinche la community comprenda cosa stiamo facendo e possa ritenerci responsabili.
Primo, stiamo rafforzando il processo di revisione incrementale per gli aggiornamenti degli skill. In precedenza, gli aggiornamenti agli skill esistenti erano sottoposti a una revisione piu leggera rispetto agli invii iniziali. D'ora in poi, qualsiasi aggiornamento che modifichi codice in aree sensibili alla sicurezza, inclusi parsing dell'input, comunicazione di rete e chiamate di sistema, attivera una revisione di sicurezza completa equivalente al processo di invio iniziale.
Secondo, stiamo introducendo la scansione automatica di analisi statica per tutti gli invii e aggiornamenti di skill. Questa scansione verifichera pattern di vulnerabilita comuni, inclusa deserializzazione non sicura, command injection, path traversal e altri rischi classificati OWASP. Sebbene la scansione automatica non possa rilevare ogni vulnerabilita, fornisce un importante livello aggiuntivo di difesa.
Terzo, stiamo implementando un modello di permessi piu granulare per gli skill. Invece di concedere ampie categorie di accesso, gli skill dovranno richiedere permessi specifici e a scope limitato. Ad esempio, invece di richiedere un generico "accesso alla rete", uno skill dovra specificare con quali domini intende comunicare. Questo principio del minimo privilegio ridurra l'impatto potenziale di future vulnerabilita.
Quarto, stiamo espandendo il nostro programma di divulgazione responsabile con un programma formale di bug bounty. I ricercatori di sicurezza che identificano e divulgano responsabilmente vulnerabilita negli skill di ClawHub o nel framework core di OpenClaw saranno idonei a ricevere ricompense finanziarie commisurate alla gravita delle loro scoperte.
Raccomandazioni per gli operatori
Alla luce di questo incidente, raccomandiamo a tutti gli operatori OpenClaw di adottare i seguenti passi per rafforzare la propria postura di sicurezza. Rivedete i permessi concessi agli skill ClawHub installati e revocate quelli non strettamente necessari. Assicuratevi che le credenziali sensibili siano archiviate in un gestore di segreti dedicato piuttosto che in variabili d'ambiente direttamente accessibili al processo OpenClaw. Abilitate la funzione di aggiornamento automatico di ClawHub per garantire che le patch di sicurezza vengano applicate tempestivamente. E monitorate il feed degli avvisi di sicurezza di OpenClaw per future notifiche.
Il team di OpenClaws.io prende sul serio la sicurezza dell'ecosistema. Nessun software e immune alle vulnerabilita, ma siamo impegnati a rispondere in modo rapido, trasparente e deciso quando sorgono problemi. Ringraziamo il ricercatore di sicurezza che ha segnalato questa vulnerabilita e i membri della community che hanno contribuito alla risposta.