Resumen

La lista blanca de exec de OpenClaw admitía entradas opcionales argPattern para restringir los argumentos aceptados para un ejecutable incluido en dicha lista. En las versiones afectadas, los gateways de Linux y macOS omitían las comprobaciones de argPattern y trataban la coincidencia de la ruta del ejecutable como condición suficiente para satisfacer la lista blanca.

Esto significaba que un operador podía configurar una entrada de lista blanca que aparentemente solo permitía una forma concreta de argv, pero OpenClaw permitía otros argv para el mismo ejecutable sin mostrar un aviso de aprobación cuando tools.exec.security estaba configurado como allowlist.

Este problema se limita a la aplicación directa de los valores argPattern configurados. Los mecanismos de aprobación de exec de OpenClaw siguen siendo controles de mejor esfuerzo y no intentan modelar semánticamente cada intérprete, cargador, script de paquete, característica de shell o archivo transitivo que un comando pueda utilizar.

Configuraciones afectadas

Este problema afecta a los despliegues de gateway de OpenClaw que cumplen todas las siguientes condiciones:

  • El gateway se ejecuta en Linux o macOS.
  • Exec está configurado con tools.exec.security: "allowlist".
  • Al menos una entrada de la lista blanca de exec utiliza argPattern.
  • El ejecutable incluido en la lista blanca acepta argumentos o flags con relevancia de seguridad.

Las entradas de lista blanca basadas únicamente en ruta no se ven afectadas adicionalmente por este problema, ya que dichas entradas permiten intencionalmente cualquier argumento para el ejecutable coincidente. Windows no fue afectado por este fallo concreto porque la ruta de código afectada ya aplicaba las comprobaciones de argPattern en esa plataforma.

Impacto

Si un emisor no confiable o de menor confianza puede influir en un agente habilitado con herramientas para que invoque exec, podría ejecutar argumentos no permitidos para un ejecutable que el operador pretendía restringir mediante argPattern. Dependiendo del ejecutable, esos argumentos pueden provocar acceso a archivos en el host, acceso a red o ejecución de comandos que deberían haber requerido un aviso de aprobación.

El impacto práctico depende de la lista blanca del operador y de la exposición del canal. Entre los ejecutables de mayor riesgo que podrían estar en la lista blanca se incluyen herramientas con flags de intérprete, cargador, subproceso, red o plugin, tales como git, python, node, bash, find, tar y ssh.

Este problema no constituye una elusión de toda la semántica de aprobación de exec. Se trata de una elusión del predicado directo argPattern que el operador configuró y que la descripción de la herramienta exec anunciaba como aplicado en tiempo de ejecución.

Versiones parcheadas

La primera versión estable con el parche aplicado es 2026.5.12.

Mitigaciones

Actualizar a openclaw@2026.5.12 o posterior. Antes de actualizar, los operadores que utilicen el modo de lista blanca de exec deben revisar las entradas que combinan una ruta de ejecutable con argPattern, especialmente para herramientas con capacidad de intérprete o subproceso.