Der Kern des Problems liegt in der Annahme, lokaler Zugriff sei automatisch vertrauenswürdig. „Das Gateway bindet sich standardmäßig an localhost, basierend auf der Annahme, dass lokaler Zugriff grundsätzlich vertrauenswürdig ist. An dieser Annahme bricht alles zusammen“, erklärt Oasis Security.

Da WebSocket-Verbindungen zu localhost nicht durch die Cross-Origin-Richtlinien des Browsers blockiert werden, konnte JavaScript-Code auf einer bösartigen Webseite eine solche Verbindung über den Port des Agenten aufbauen. Anschließend ließ sich das Passwort per Brute-Force erraten, weil der Ratenbegrenzer des Gateways Loopback-Verbindungen nicht erfasste. Danach konnte sich der Angreifer als vertrauenswürdiges Gerät registrieren – Geräte-Kopplungen von localhost wurden automatisch und ohne Nutzerabfrage genehmigt.

„Der Ratenbegrenzer des Gateways nimmt Loopback-Verbindungen vollständig aus – fehlgeschlagene Versuche werden weder gezählt noch gedrosselt noch protokolliert. In unseren Labortests erreichten wir allein mit JavaScript im Browser dauerhaft mehrere Hundert Passwortversuche pro Sekunde. Bei diesem Tempo ist eine Liste gängiger Passwörter in unter einer Sekunde erschöpft, ein großes Wörterbuch nur in wenigen Minuten“, so Oasis.

Mit einem erratenen Passwort erhält der Angreifer eine authentifizierte Sitzung mit Administratorrechten und damit die vollständige Kontrolle über OpenClaw. Das erlaubt es ihm, mit dem Agenten zu interagieren, Konfigurationen auszulesen, Nodes aufzulisten und Logs einzusehen.

„In der Praxis bedeutet das, dass ein Angreifer den Agenten anweisen könnte, den Slack-Verlauf des Entwicklers nach API-Schlüsseln zu durchsuchen, private Nachrichten zu lesen, Dateien von verbundenen Geräten zu entwenden oder beliebige Shell-Befehle auf jedem gekoppelten Node auszuführen. Für einen Entwickler mit typischen OpenClaw-Integrationen entspricht das einer vollständigen Kompromittierung der Workstation, ausgelöst aus einem Browser-Tab“, erklärt Oasis.

Das Sicherheitsteam von OpenClaw behob die Schwachstelle innerhalb von 24 Stunden nach Eingang der Meldung von Oasis und stufte sie als hochgradig schwerwiegend ein. Nutzern wird empfohlen, auf OpenClaw-Version 2026.2.25 oder neuer zu aktualisieren.