Die gefährlichste Lücke ist CVE-2026-44112 mit einem CVSS-Wert von 9,6. Sie beruht auf einer Race Condition zwischen Prüf- und Nutzungszeitpunkt (Time-of-Check/Time-of-Use, TOCTOU) in OpenClaws OpenShell-Sandbox. Angreifer können darüber Systemkonfigurationsdateien verändern, Backdoors einschleusen und letztlich dauerhafte Kontrolle auf Systemebene über den Host erlangen.
Es folgt CVE-2026-44115 (CVSS 8,8), ein Logikfehler, über den sich API-Schlüssel, Tokens, Zugangsdaten und andere sensible Daten abgreifen lassen. Hinzu kommen CVE-2026-44118 (CVSS 7,8), eine Rechteausweitung infolge mangelhafter Sitzungsvalidierung, sowie CVE-2026-44113 (CVSS 7,8), eine weitere TOCTOU-Schwachstelle, die unbefugten Zugriff auf Konfigurationsdateien, API-Schlüssel, Zugangsdaten oder andere interne Daten erlaubt.
„Die vier Schwachstellen sind einzeln betrachtet relevant, doch ihre kombinierte Wirkung ist die wichtigere Geschichte", schreibt Cyera in einem aktuellen Bericht. „Von einem einzigen, einem Lieferketten-Angriff ähnelnden Standbein aus kann ein Angreifer drei von ihnen parallel von einem Einstiegspunkt aus verketten."
Laut Cyera kann die Kette damit beginnen, dass sich ein Angreifer über ein bösartiges Plug-in, einen manipulierten Prompt oder eine andere externe Datenquelle, die ein KI-Agent üblicherweise verarbeitet, einen ersten Zugang verschafft. Innerhalb der Sandbox lassen sich über die Lese- und Befehlsausführungslücken Zugangsdaten und sensible Dateien sammeln. Mit diesen Daten können Angreifer anschließend die Rechteausweitung ausnutzen, administrative Kontrolle über die Agentenumgebung erlangen und Backdoors für dauerhaften Zugriff platzieren.
Schwer zu entdecken sei das Vorgehen, weil jeder Schritt die legitimen Fähigkeiten des Agenten nutze, betont Cyera: „Indem ein Angreifer die eigenen Berechtigungen des Agenten als Waffe einsetzt, bewegt er sich durch Datenzugriff, Rechteausweitung und Persistenz — er nutzt den Agenten als seine Hände in der Umgebung." Jeder Schritt wirke für klassische Kontrollen wie normales Agentenverhalten, was den Wirkungsradius vergrößere und die Erkennung deutlich erschwere.
OpenClaw, ursprünglich Clawdbot und später MoltBot genannt, hat sich seit dem Start im vergangenen November rasch zu einem viel beachteten Projekt im Bereich quelloffener KI-Agenten entwickelt. Die Software lässt KI-Assistenten direkt auf den Rechnern der Nutzer laufen, um Arbeitsabläufe zu automatisieren und mehrstufige Aktionen mit minimalem menschlichem Eingreifen auszuführen. Dafür greift die Plattform auf lokale Dateien, Terminalumgebungen, Entwicklerwerkzeuge, Messaging-Plattformen, Kalender, APIs und weitere angebundene Systeme zu.
Schon kurz nach dem Start hatten Forscher wiederholt Schwachstellen gefunden. Oasis Security meldete im vergangenen Monat eine Lücke, über die sich KI-Agenten per bösartiger Website kapern ließen; ein weiterer Fehler ermöglichte Token-Diebstahl (CVE-2026-25253), andere wie CVE-2026-24763, CVE-2026-25157 und CVE-2026-25475 erlaubten Befehls- und Prompt-Injection.
Justin Fier, Senior Vice President für Offensive Security bei Darktrace, sieht das Kernproblem im fehlenden Sicherheits-Check vor dem Einsatz solcher Werkzeuge. „Diese Fehler erlauben es einem Angreifer, die grundlegenden Phasen eines Angriffs durchzuführen", sagt er — etwa eingeschränkte Konfigurationen zu manipulieren und über Backdoors Persistenz auf einem kompromittierten Host zu etablieren. Da Nutzer ihrem OpenClaw-Client vertrauenswürdige Berechtigungen zuwiesen, wirke der zugehörige Datenverkehr unauffällig und sei schwer zu erkennen. „OpenClaw benötigt sehr weitreichenden Zugriff, um zu funktionieren, darunter Zugriff auf das Dateisystem, die Maus, die Tastatur und mehr."
Nutzer müssten dem Werkzeug zudem Zugriff auf die Dienste geben, mit denen es arbeiten soll, einschließlich Finanz- und sogar Gesundheitsdaten. „Das ist ein invasives Werkzeug, und ihm zu viel zu vertrauen ist das größte Risiko, das eine Organisation eingehen kann", so Fier. Er rät Organisationen, eine angemessene Governance und Sichtbarkeit für solche Einsätze zu schaffen und bei zentralen Diensten konsequent dem Prinzip der minimalen Rechtevergabe zu folgen.
