Die von Cyera identifizierte Angriffskette “Claw Chain” demonstriert ein neues, besonders tückisches Angriffsmodell. Es basiert nicht auf einem einzelnen kritischen Exploit, sondern auf der geschickten Verkettung mehrerer kleinerer Schwachstellen – eine Strategie, die traditionelle Sicherheitskontrollen leicht umgehen kann.
Die vier CVE-Nummern und ihre Funktionsweise im Angriff:
Schritt 1: Sandbox-Evasion – Nach der Erlangung von Code-Ausführungsrechten innerhalb der OpenShell-Sandbox können Angreifer zwei Lücken ausnutzen: Ein Race Condition (CVE-2026-44113) ermöglicht das Auslesen von Dateien außerhalb der Mount-Wurzel, während ein Fehler in der Exec-Allowlist-Analyse (CVE-2026-44115) die Ausführung nicht genehmigter Befehle gestattet.
Schritt 2: Privilege Escalation – Mit einem MCP-Loopback-Exploit (CVE-2026-44118) können Angreifer die Besitzverifikation manipulieren und sich auf Owner-Level hochstufen. Dies verschafft ihnen Zugriff auf kritische Verwaltungsfunktionen wie Konfiguration und Orchestrierung.
Schritt 3: Persistente Kontrolle – Eine zweite Race Condition (CVE-2026-44112, CVSS 9.6) ermöglicht das Schreiben von Daten außerhalb der Sandbox-Grenze, wodurch Backdoors und dauerhafte Systempräsenz installiert werden können.
Besonders tückisch: Jeder Schritt sieht für traditionelle Sicherheitssysteme wie normales Agent-Verhalten aus, was die Detektion erheblich erschwert. Angreifer können Umgebungsvariablen, API-Token, Anmeldedaten, Konfigurationsdateien, Quellcode und sogar Gesprächsverlauf des KI-Agenten kompromittieren.
Die Angriffsvektor sind vielfältig: Prompt-Injektionen, bösartige Plugins oder manipulierte externe Eingaben können die Angriffskette auslösen. Besonders kritisch ist, dass viele dieser KI-Agenten breiten Zugriff auf interne Systeme und sensitive Daten haben – ideal für Angreifer.
Reaktion und Implikationen
Cyera informierte die OpenClaw-Maintainer am 22. April, Patches folgten bereits am nächsten Tag. Dies zeigt eine vorbildliche Incident-Response. Dennoch: Nicht alle 60.000 Instanzen dürften sofort aktualisiert sein – und das stellt für deutsche Organisationen, die solche Agenten nutzen, ein unmittelbares Risiko dar.
Für Unternehmen mit Datenschutzverpflichtungen nach DSGVO ist die mögliche Offenlegung personenbezogener Daten besonders relevant: Eine erfolgreiche Kompromittierung könnte Meldepflichten an Aufsichtsbehörden und Betroffene auslösen sowie empfindliche Bußgelder bis 4% des Jahresumsatzes nach sich ziehen.
Die Claw Chain unterstreicht eine tiefere Erkenntnis: Sicherheit in der KI-Ära erfordert nicht nur die Behebung einzelner Bugs, sondern auch architektektisches Sicherheits-Design und kontinuierliche Überwachung von Agenten-Verhalten.