Im Zentrum des Angriffs steht eine fehlende Drosselung von Anmeldeversuchen. Zwar verfügt OpenClaw über einen Mechanismus gegen Brute-Force-Attacken, doch die Loopback-Adresse (127.0.0.1) ist davon standardmäßig ausgenommen, damit lokale CLI-Sitzungen nicht versehentlich gesperrt werden. Genau diese Ausnahme machten sich die Forscher zunutze.

Nach Angaben von Oasis Security ließ sich das Verwaltungspasswort von OpenClaw mit Hunderten Versuchen pro Sekunde durchprobieren, ohne dass fehlgeschlagene Versuche gedrosselt oder protokolliert wurden. “In unseren Labortests erreichten wir allein über JavaScript im Browser eine anhaltende Rate von Hunderten Passwortversuchen pro Sekunde”, erklärt Oasis. “Bei dieser Geschwindigkeit ist eine Liste gängiger Passwörter in weniger als einer Sekunde durchprobiert, und ein großes Wörterbuch würde nur Minuten dauern. Ein von einem Menschen gewähltes Passwort hat keine Chance.”

Ist das richtige Passwort erraten, kann sich der Angreifer unbemerkt als vertrauenswürdiges Gerät registrieren: Das Gateway bestätigt Geräte-Kopplungen von localhost automatisch, ohne eine Nutzerbestätigung zu verlangen.

Mit einer authentifizierten Sitzung und Administratorrechten kann der Angreifer direkt mit der KI-Plattform interagieren – etwa Zugangsdaten auslesen, verbundene Knoten auflisten, Anmeldedaten entwenden und Anwendungsprotokolle einsehen. Laut Oasis lässt sich der Agent zudem anweisen, Nachrichtenverläufe nach sensiblen Informationen zu durchsuchen, Dateien von verbundenen Geräten abzuziehen oder beliebige Shell-Befehle auf gekoppelten Knoten auszuführen. Das laufe effektiv auf eine vollständige Kompromittierung der Arbeitsstation hinaus, ausgelöst aus einem Browser-Tab heraus. Die Forscher veröffentlichten eine Demonstration des Angriffs.

Oasis Security meldete das Problem samt technischer Details und Proof-of-Concept-Code an OpenClaw; behoben wurde es innerhalb von 24 Stunden nach der Offenlegung. Der Fix verschärft die Sicherheitsprüfungen für WebSocket-Verbindungen und ergänzt zusätzliche Schutzmaßnahmen, die verhindern sollen, dass Angreifer Loopback-Verbindungen über localhost für Brute-Force-Anmeldungen oder das Kapern von Sitzungen missbrauchen – selbst wenn diese Verbindungen von der Drosselung ausgenommen sind.

Angesichts der großen Popularität von OpenClaw rückt die Plattform verstärkt in den Fokus der Sicherheitsforschung. So wurde bereits beobachtet, dass Angreifer das Skill-Repository “ClawHub” missbrauchen, um bösartige Skills zu verbreiten, die Schadsoftware zum Diebstahl von Daten installieren oder Nutzer dazu verleiten, schädliche Befehle auf ihren Geräten auszuführen.