Eine schwerwiegende Sicherheitslücke in der beliebten KI-Plattform OpenClaw erlaubt es Angreifern, über manipulierte Webseiten lokale Instanzen zu übernehmen und Daten zu stehlen. Der Hersteller hat einen Patch bereitgestellt.
Sicherheitsforscher von Oasis Security haben eine kritische Schwachstelle in OpenClaw aufgedeckt, die es böswilligen Websites ermöglicht, unbemerkt auf lokale Instanzen zuzugreifen und diese zu kontrollieren. Die Lücke wurde bereits in Version 2026.2.26 vom 26. Februar geschlossen.
OpenClaw ist eine selbstgehostete KI-Plattform, die in letzter Zeit stark an Beliebtheit gewonnen hat, da sie autonomen KI-Agenten ermöglicht, Nachrichten zu versenden, Befehle auszuführen und Aufgaben über mehrere Plattformen hinweg zu verwalten.
Die Schwachstelle entsteht durch den OpenClaw-Gateway-Dienst, der standardmäßig an localhost gebunden ist und eine WebSocket-Schnittstelle exponiert. Da Browser-Cross-Origin-Richtlinien WebSocket-Verbindungen zu localhost nicht blockieren, kann eine böswillige Website mittels JavaScript stillschweigend eine Verbindung zum lokalen Gateway öffnen und Authentifizierungsversuche durchführen, ohne Warnungen auszulösen.
Obwohl OpenClaw Rate-Limiting gegen Brute-Force-Angriffe implementiert, ist die Loopback-Adresse (127.0.0.1) standardmäßig ausgenommen, um lokale CLI-Sitzungen nicht versehentlich zu blockieren. Dies ermöglichte es den Forschern, hunderte Passwort-Versuche pro Sekunde durchzuführen, ohne dass fehlgeschlagene Versuche gedrosselt oder protokolliert wurden.
“In unserem Test erreichten wir mit Browser-JavaScript eine konstante Rate von hunderten Passwort-Vermutungen pro Sekunde”, erklärt Oasis. “Bei dieser Geschwindigkeit wird eine Liste häufiger Passwörter in unter einer Sekunde vollständig durchprobiert, ein großes Wörterbuch würde nur Minuten dauern.”
Sobald das richtige Passwort erraten ist, kann sich der Angreifer stillschweigend als vertrauenswürdiges Gerät registrieren, da das Gateway Device-Paarungen von localhost automatisch ohne Benutzerbestätigung genehmigt.
Mit authentifiziertem Zugriff und Administratorrechten kann der Angreifer direkt mit der KI-Plattform interagieren: Anmeldedaten dumpen, verbundene Knoten auflisten, Dateien exfiltrieren oder beliebige Shell-Befehle auf gekoppelten Systemen ausführen. Dies könnte zur vollständigen Kompromittierung der Arbeitsstation führen – ausgelöst allein durch einen Browser-Tab.
Oasis meldete die Schwachstelle dem OpenClaw-Team inklusive technischer Details und Proof-of-Concept-Code. Die Behebung erfolgte innerhalb von 24 Stunden. Der Fix verschärft die WebSocket-Sicherheitsprüfungen und fügt zusätzliche Schutzmaßnahmen hinzu, um Missbrauch von Localhost-Verbindungen zu Brute-Force- oder Session-Hijacking-Angriffen zu verhindern.
Organisationen und Entwickler, die OpenClaw betreiben, sollten sofort auf Version 2026.2.26 oder später aktualisieren. Neben dieser kritischen Sicherheitslücke warnt die Sicherheitscommunity auch vor Bedrohungen durch das “ClawHub”-Repository, wo Cyberkriminelle böswillige Skills mit Infostealer-Malware oder Befehle zur Gerätekomprimitierung verbreiten.
Quelle: BleepingComputer