SchwachstellenHackerangriffeKI-Sicherheit

OpenClaw im Visier: Vier verkettete Sicherheitslücken gefährden KI-Agent-Deployments

Von CyberDeutsch Redaktion
OpenClaw im Visier: Vier verkettete Sicherheitslücken gefährden KI-Agent-Deployments
Zusammenfassung

Sicherheitsforscher haben vier kritische Schwachstellen in OpenClaw, einem weit verbreiteten Open-Source-Framework für die Bereitstellung autonomer KI-Agenten, entdeckt. Diese als "Claw Chain" bekannten Lücken ermöglichen es Angreifern, sie gezielt zu verketten und damit initial Zugriff auf Systeme zu erlangen, Anmeldedaten zu stehlen, Berechtigungen zu erweitern und persistente Hintertüren einzubauen. Das Sicherheitsunternehmen Cyera deckte die Schwachstellen auf – darunter eine kritische TOCTOU-Race-Condition mit dem CVSS-Score von 9,6 –, woraufhin die Entwickler Patches für alle Versionen vor April 2026 bereitstellten. Besonders bemerkenswert ist, dass Angreifer diese Lücken nacheinander ausnutzen können, während jeder Schritt wie normale Agent-Aktivität wirkt und somit Sicherheitssystemen entgeht. Für deutsche Unternehmen und Behörden, die OpenClaw zur Automatisierung von Workflows einsetzen oder planen, stellt dies ein erhebliches Risiko dar – vor allem, wenn die Systeme Zugriff auf sensible interne Daten, Cloud-Umgebungen oder privilegierte Zugangsdaten haben. Die Vorfälle unterstreichen die wachsenden Sicherheitsrisiken bei der rasanten Einführung von KI-Agent-Plattformen ohne angemessene Sicherheitsprüfungen.

Die vier Sicherheitslücken, die Cyera unter dem Sammelbegriff “Claw Chain” zusammenfasst, sind zwar einzeln bemerkenswert, aber ihre Kombination erweist sich als besonders gefährlich. Die kritischste Lücke trägt die Bezeichnung CVE-2026-44112 mit einem CVSS-Score von 9,6. Sie basiert auf einer Time-of-Check/Time-of-Use-Race-Condition (TOCTOU) in OpenClaws OpenShell-Sandbox und ermöglicht Angreifern, Systemkonfigurationsdateien zu manipulieren, bösartige Backdoors zu platzieren und schließlich persistente Systemkontrolle über den Host zu erlangen.

Die zweite schwerwiegende Lücke ist CVE-2026-44115 (CVSS: 8,8), ein Logikfehler, der Angreifern Zugriff auf API-Schlüssel, Tokens, Anmeldedaten und weitere sensible Daten verschafft. CVE-2026-44118 (CVSS: 7,8) nutzt unsachgemäße Sitzungsvalidierung zur Rechteerweiterung, während CVE-2026-44113 (CVSS: 7,8) eine weitere TOCTOU-Schwachstelle darstellt, die den unauthentisierten Zugriff auf Systemkonfigurationen und interne Daten ermöglicht.

Das Besondere an diesem Angriffskettenkonzept: Ein Angreifer kann mit nur einem initialen Zugang die vier Lücken parallel ausnutzen. Die Angriffskette könnte mit einem bösartigen Plugin, manipulierten Prompts oder externen Datenquellen beginnen, die KI-Agenten normalerweise verarbeiten. Innerhalb der Sandbox könnte der Angreifer dann Lese- und Befehlsausführungsfehler nutzen, um Anmeldedaten zu sammeln, anschließend die Rechteerweiterungslücke ausnutzen und Administrative Kontrolle erlangen, um schlussendlich persistente Backdoors zu installieren.

Besonders tückisch: Jeder Schritt nutzt die legitimen Fähigkeiten und Berechtigungen des Agenten selbst, sodass die Aktivität für herkömmliche Sicherheitsüberwachungstools wie normales Agent-Verhalten aussieht. Dadurch wird die Detektion erheblich erschwert.

OpenClaw hat sich seit seinem Start im November schnell zu einem prominenten Projekt im Open-Source-KI-Agent-Bereich entwickelt. Die Plattform ermöglicht es Nutzern, KI-Assistenten lokal zur Automatisierung von Workflows auszuführen. Dafür benötigt das System Zugriff auf lokale Dateien, Terminal-Umgebungen, APIs und verbundene Systeme – ein erhebliches Angriffspotenzial.

Seit dem Launch wurden regelmäßig weitere Sicherheitsprobleme bekannt: Token-Theft-Lücken, Command- und Prompt-Injection-Schwachstellen. Dies verdeutlicht die dringende Notwendigkeit für Unternehmen, KI-Agent-Plattformen vor dem Einsatz einer gründlichen Sicherheitsprüfung zu unterziehen und das Prinzip der geringsten Rechte (Least Privilege) konsequent zu verfolgen.

Ähnliche Artikel