Eine nun behobene Sicherheitslücke im beliebten KI-Agent-Tool OpenClaw ermöglichte es Angreifern, die Kontrolle über Entwickler-Systeme zu übernehmen. Die Schwachstelle unterstreicht die wachsenden Gefahren beim Einsatz von KI ohne angemessene Sicherheitskontrollen.
Eine frisch bekannt gewordene und mittlerweile behobene Schwachstelle in OpenClaw — dem am schnellsten wachsenden KI-Agent-Tool in der Entwickler-Community — verdeutlicht die eskalierenden Risiken, denen Organisationen ausgesetzt sind, wenn sie KI-Systeme ohne robuste Sicherheitsmaßnahmen einführen.
Die Lücke in OpenClaw, dem Open-Source-KI-Agent, der seit seinem Start im November rasant an Beliebtheit gewonnen hat, erlaubte es böswilligen Websites, einen Entwickler-Agenten zu kapern, ohne dass zusätzliche Plugins, Browser-Erweiterungen oder Benutzerinteraktion nötig waren. Das Kernproblem: OpenClaw konnte nicht zwischen vertrauenswürdigen lokalen Verbindungen und solchen von bösartigen Websites im Browser unterscheiden.
Das OpenClaw-Team stufte die Sicherheitslücke als “hoher Severity” ein und veröffentlichte einen Patch weniger als 24 Stunden, nachdem Forscher von Oasis Security das Team informiert hatten. Version 2026.2.25 und später enthalten den Sicherheitsfix; sofortiges Aktualisieren wird dringend empfohlen.
OpenClaw — ursprünglich als MoltBot und später Clawdbot bekannt — ist ein virenartiges Open-Source-Tool, das lokal als persönlicher KI-Assistent läuft. Es integriert sich mit Messaging-Apps, Kalendern und Entwickler-Tools und automatisiert Workflows, verwaltet Dateien, führt Shell-Commands aus und ermöglicht eine breite Palette autonomer Aktionen. Entwickler können Funktionen über einen Community-Marktplatz namens ClawHub erweitern. Diese Kombination aus Flexibilität, lokaler Kontrolle und schnell wachsendem Ökosystem machte OpenClaw in kurzer Zeit extrem populär — innerhalb von nur drei Monaten wurde es das meist-gesternte Projekt auf GitHub, sogar vor React.
Doch diese beispiellose Adoptionsgeschwindigkeit brachte auch neue Sicherheitsrisiken mit sich. Die Schwachstelle CVE-2026-25253 ermöglichte es Angreifern, Authentifizierungs-Token zu stehlen. Hinzu kamen Command-Injection- und Prompt-Injection-Attacken (CVE-2026-24763, CVE-2026-25157, CVE-2026-25475). Koi Security entdeckte zudem, dass von 10.700 Skills auf ClawHub über 820 böswillig waren — ein deutlicher Anstieg gegenüber 324 im Februar. Trend Micro fand Cyberkriminelle, die 39 solcher Skills nutzten, um den Atomic-macOS-Info-Stealer zu verbreiten.
Die von Oasis Security entdeckte Sicherheitslücke stammte aus einer falschen Annahme: OpenClaw vertraute allen Verbindungen vom localhost implizit, ohne zu berücksichtigen, dass auch Websites solche lokalen Verbindungen öffnen können. Wenn ein Entwickler eine kompromittierte Website besuchte, konnte JavaScript dort stillschweigend eine WebSocket-Verbindung zum OpenClaw-Gateway öffnen. Schlimmer noch: Es gab keine Brute-Force-Schutzmaßnahmen. Ein Angreifer konnte das Gateway-Passwort durchprobieren, ohne dass Alarme ausgelöst wurden. Mit Zugang konnte der Angreifer dann beliebige bösartige Scripts als vertrauenswürdig registrieren und das gesamte Entwickler-System kontrollieren.
Diese Sicherheitslücke offenbart ein größeres Problem: Die unkontrollierte Verbreitung von KI-Agenten in Organisationen. Randolph Barr, CISO bei Cequence Security, fordert Sicherheitsbarrieren zwischen KI-Bots und den Apps, APIs und Zugangsdaten, auf die sie zugreifen. Zwar hat OpenClaw grundlegende Schutzmaßnahmen wie Authentifizierung und Sandboxing, doch reichen diese nicht aus, wenn der Agent lokal mit breitem Zugriff läuft.
Wirksamer Schutz erfordert mehrschichtige Verteidigungen: MDM-Durchsetzung, Entzug von Admin-Rechten, begrenzte Credentials, API-Monitoring, Rate-Limiting und Sandboxing. Organisationen sollten lokale KI-Gateways wie Internet-Services behandeln. Jason Soroko von Sectigo empfiehlt, den Browser-Zugriff durch Unix-Domain-Sockets zu blockieren, strikte Origin-Allowlisting zu erzwingen und mTLS-Authentifizierung zu verlangen. Zudem sollten Organisationen ein Capability-Modell implementieren, das genau definiert, welche Aktionen der Agent durchführen darf — mit zusätzlicher Genehmigung für kritische Operationen wie Shell-Ausführung oder Zugriff auf Credentials.
Quelle: Dark Reading