Den Ausgangspunkt der Angriffskette bildet die Codeausführung innerhalb der OpenShell-Sandbox. Von dort aus kann ein Angreifer laut Cyera zunächst eine Race Condition (CVE-2026-44113) ausnutzen, um Dateien außerhalb des eingehängten Wurzelverzeichnisses zu lesen. Alternativ erlaubt ein Fehler in der Analyse der Ausführungs-Allowlist (CVE-2026-44115), nicht freigegebene Befehle zur Laufzeit auszuführen.
Über diese beiden Schwachstellen lassen sich die Sandbox-Beschränkungen umgehen und sensible Daten abgreifen – darunter Zugangsdaten, API-Schlüssel, Tokens und Konfigurationsdateien.
Im nächsten Schritt nutzt der Angreifer eine MCP-Loopback-Schwachstelle (CVE-2026-44118) aus, um ein nicht verifiziertes Eigentümer-Flag zu manipulieren und seine Rechte auf Eigentümer-Ebene anzuheben. Damit erhält er Zugriff auf zentrale Verwaltungsfunktionen, einschließlich der Konfiguration und Orchestrierung der Ausführung.
Den Abschluss bildet eine als kritisch eingestufte Race Condition in der OpenShell-Sandbox (CVE-2026-44112, CVSS-Wert 9,6), mit der sich Daten über die Sandbox-Grenze hinaus schreiben lassen. Sie ermöglicht es, Konfigurationen zu verändern, Backdoors zu platzieren und dauerhaft die Kontrolle über den Host zu erlangen.
„Indem ein Angreifer die Privilegien des Agenten selbst zur Waffe macht, bewegt er sich über Datenzugriff, Rechteausweitung und Persistenz – und nutzt den Agenten als seine Hände innerhalb der Umgebung. Jeder Schritt sieht für herkömmliche Kontrollen wie normales Agentenverhalten aus, was die Auswirkungen vergrößert und die Erkennung erheblich erschwert", erklärt Cyera.
Gelingt die Verkettung, könnten Angreifer Umgebungsvariablen, Tokens, Authentifizierungsmaterial, interne Konfigurationen, Systemzugangsdaten, Quellcode, Benutzereingaben und -ausgaben, den Gesprächsverlauf sowie privilegierte Operationen kompromittieren.
Cyera betont, dass die Kette nicht auf einem einzelnen kritischen Exploit wie beliebiger Befehlsausführung beruht. „Stattdessen zeigt sie, wie mehrere kleinere Schwächen – Datenabfluss, Race Conditions und unzureichende Zugriffskontrolle – parallel von einem einzigen Brückenkopf aus ausgenutzt werden können, um eine vollständige Kompromittierung zu erreichen", so das Unternehmen.
Alle vier Schwachstellen wurden den OpenClaw-Maintainern am 22. April gemeldet; die Patches wurden bereits am Folgetag verteilt.
