Eine kritische Sicherheitslücke in OpenClaw ermöglichte es Angreifern, KI-Agenten zu übernehmen, indem sie Entwickler auf bösartige Websites lockten. Das Problem wurde innerhalb von 24 Stunden behoben.
Ein erhebliches Sicherheitsrisiko in der OpenClaw-KI-Assistentin hätte Angreifern die Möglichkeit gegeben, Agenten zu kapern, wie Oasis Security berichtet. Das Besondere: Ein erfolgreicher Angriff erforderte weder Installation von Malware noch Benutzerinteraktion, sondern nutzte lediglich OpenClaws vorhandene Funktionen aus.
OpenClaw betreibt als selbst gehosteter KI-Agent einen lokalen WebSocket-Server, der als Gateway fungiert. Dieses Gateway authentifiziert Benutzer, orchestriert den Agenten, verwaltet Chat-Sitzungen und speichert Konfigurationen. Die Authentifizierung erfolgt über Tokens oder Passwörter.
Die kritische Annahme: Das Gateway bindet standardmäßig an localhost und geht davon aus, dass lokaler Zugriff automatisch vertrauenswürdig ist. Genau hier lag das Problem.
Wie die Attacke funktionierte: Oasis entdeckte, dass JavaScript-Code auf bösartigen Webseiten WebSocket-Verbindungen zum localhost öffnen konnte, da Browser die gleiche-Ursprungs-Richtlinie nicht auf localhost anwendet. Danach konnte der Angreifer das Passwort brutal erzwingen – ohne Einschränkungen, da die Rate-Limiting des Gateways Loopback-Verbindungen komplett ausnahm. Fehlgeschlagene Versuche wurden nicht gezählt, nicht gedrosselt und nicht protokolliert.
Im Labor erreichte Oasis eine Rate von hunderten Passwortversuchen pro Sekunde. Eine Liste häufiger Passwörter war damit in unter einer Sekunde erschöpft, ein großes Wörterbuch brauchte nur Minuten.
Mit dem erratenen Passwort erhielt der Angreifer eine authentifizierte Admin-Sitzung mit vollständiger Kontrolle über OpenClaw. Dies ermöglichte den Zugriff auf Konfigurationen, Logs und Nodes – mit dem praktischen Ergebnis, dass der Angreifer den Agenten anweisen konnte, Slack-Historien nach API-Schlüsseln zu durchsuchen, private Nachrichten zu lesen, Dateien zu exfiltrieren oder beliebige Shell-Befehle auszuführen. Für einen Entwickler mit typischen OpenClaw-Integrationen ist dies gleichbedeutend mit der vollständigen Kompromittierung der Arbeitsstation.
Das OpenClaw-Team reagierte schnell: Die Schwachstelle wurde innerhalb von 24 Stunden nach dem Bericht von Oasis behoben und als kritisch eingestuft. Nutzer sollten auf Version 2026.2.25 oder später aktualisieren.
Quelle: SecurityWeek