Im Zentrum der von Cyera als Claw Chain bezeichneten Angriffskette steht das Zusammenspiel von vier Fehlern, die sich nacheinander ausnutzen lassen. Die Kette verläuft über vier Schritte, an deren Ende ein Angreifer Datenzugriff, Rechteausweitung und Persistenz erreicht.
Als Ursache von CVE-2026-44118 nennt das Unternehmen, dass OpenClaw einem vom Client kontrollierten Eigentümer-Kennzeichen namens senderIsOwner vertraut. Dieses Kennzeichen signalisiert, ob der Aufrufer für ausschließlich dem Eigentümer vorbehaltene Werkzeuge berechtigt ist – ohne dass der Wert gegen die authentifizierte Sitzung geprüft wird.
In einem Advisory beschreibt OpenClaw die Korrektur: Die MCP-Loopback-Laufzeitumgebung stelle nun getrennte Bearer-Token für Eigentümer und Nicht-Eigentümer aus und leite senderIsOwner ausschließlich daraus ab, mit welchem Token eine Anfrage authentifiziert wurde. Der fälschbare Header, der den Absender als Eigentümer auswies, werde nicht mehr ausgegeben und nicht mehr als vertrauenswürdig behandelt.
Die beiden weiteren zentralen Lücken betreffen unmittelbar die Auswirkungen eines erfolgreichen Angriffs: CVE-2026-44112 erlaubt es laut Cyera, die Konfiguration zu verändern, Hintertüren zu platzieren und dauerhafte Kontrolle über den kompromittierten Host zu erlangen. CVE-2026-44113 lässt sich nutzen, um Systemdateien, Zugangsdaten und interne Artefakte auszulesen.
Cyera betont, dass der Angreifer dabei die Berechtigungen des Agenten selbst missbraucht und sich über Datenzugriff, Rechteausweitung und Persistenz bewegt – er nutze den Agenten gleichsam als seine Hände in der Umgebung. Jeder einzelne Schritt wirke für herkömmliche Schutzmechanismen wie normales Verhalten des Agenten, was die Reichweite eines Angriffs vergrößere und die Erkennung deutlich erschwere.
Alle vier Schwachstellen sind in OpenClaw 2026.4.22 behoben. Die Meldung der Fehler wird dem Sicherheitsforscher Vladimir Tokarev zugeschrieben. Nutzern wird geraten, auf die aktuelle Version zu wechseln.