OpenClaw, früher als MoltBot und davor als Clawdbot bekannt, ist ein viraler Open-Source-KI-Agent, der lokal auf dem System des Nutzers als persönlicher Assistent läuft. Das Werkzeug bindet sich in Messaging-Apps, Kalender und Entwickler-Tools ein und kann Arbeitsabläufe automatisieren, Dateien verwalten, Shell-Befehle ausführen und zahlreiche weitere autonome Aktionen übernehmen. Über community-entwickelte Plug-ins – sogenannte “Skills” aus dem Marktplatz ClawHub – lässt es sich erweitern. Seit dem Start im vergangenen November hat OpenClaw rasant an Beliebtheit gewonnen: In nur drei Monaten wurde es zum meistbewerteten Projekt auf GitHub und überholte damit die JavaScript-Bibliothek React.
Die hohe Verbreitungsgeschwindigkeit hat Organisationen jedoch neuen Sicherheitsrisiken ausgesetzt. Dazu zählen die Schwachstelle CVE-2026-25253, über die Angreifer Authentifizierungs-Token stehlen konnten, sowie Command-Injection-Fehler und Prompt-Injection-Angriffe, etwa CVE-2026-24763, CVE-2026-25157 und CVE-2026-25475.
Ein weiteres Problem ist die zunehmende Zahl bösartiger Skills. Forscher von Koi Security fanden nach eigenen Angaben unter 10.700 Skills auf ClawHub mehr als 820 schädliche – ein deutlicher Anstieg gegenüber den 324, die sie wenige Wochen zuvor entdeckt hatten. Trend Micro stellte fest, dass Bedrohungsakteure 39 solcher Skills auf ClawHub und SkillsMP nutzten, um den Infostealer Atomic für macOS zu verbreiten.
Die von Oasis Security entdeckte Lücke ging auf die fehlerhafte Annahme zurück, dass jede von localhost – also vom Rechner selbst – ausgehende Verbindung implizit vertrauenswürdig sei. Dabei blieb unberücksichtigt, dass auch Webseiten Verbindungen über dieselbe lokale Adresse aufbauen können. Besuchte ein Entwickler eine vom Angreifer kontrollierte oder kompromittierte Seite, konnte deren JavaScript unbemerkt eine WebSocket-Verbindung direkt zum OpenClaw-Gateway öffnen.
Zudem hatte OpenClaw keine Ratenbegrenzung und keine Fehlerschwellen für falsche Passwörter gesetzt. Ein Angreifer konnte das Gateway-Passwort somit per Brute-Force erraten, ohne einen Alarm auszulösen. Einmal authentifiziert, ließ sich praktisch jedes beliebige Schadskript als vertrauenswürdig registrieren – und damit die volle Kontrolle über das Gerät des Entwicklers erlangen.
Randolph Barr, CISO bei Cequence Security, betont gegenüber Dark Reading, dass es Sicherheitsbarrieren zwischen KI-Bots und den von ihnen genutzten Apps, APIs und Zugangsdaten brauche. OpenClaw verfüge zwar über grundlegende Schutzmechanismen wie Authentifizierung, Beschränkungen der zugelassenen Geräte, Kontrollen über ausführbare Werkzeuge und die Möglichkeit zum Sandboxing. “Doch diese Kontrollen beseitigen das Risiko nicht, wenn der Agent lokal mit weitreichendem Zugriff auf Dateien, Zugangsdaten und verbundene Systeme läuft.” Echten Schutz böten erst gestaffelte Verteidigungsmaßnahmen, MDM-Durchsetzung, der Entzug von Administratorrechten, eng gefasste Zugangsdaten, API-Überwachung, Ratenbegrenzung und Sandboxing.
Jason Soroko, Senior Fellow bei Sectigo, rät, jedes über den Browser erreichbare lokale KI-Gateway wie einen aus dem Internet erreichbaren Dienst zu behandeln. Wo möglich solle man dem Browser den Zugang entziehen – etwa über Unix-Domain-Sockets, Named Pipes oder eine native Begleitkomponente. Zudem empfiehlt er striktes Origin-Allowlisting, kryptografische Client-Identität wie mTLS oder signierte Challenges und ein Verbot automatischer Freigaben anhand der Quell-IP. Über ein Berechtigungsmodell solle eingegrenzt werden, was der Agent nach Verb, Verzeichnis, Ziel und Zeit tun darf, mit zusätzlicher Zustimmung für riskante Aktionen wie Shell-Ausführung, Zugriff auf Zugangsdaten und große Datenabflüsse.
