Im Zentrum der neuen Erkenntnisse stehen drei Schwachstellen mit hohem Schweregrad in OpenClaw. Nach Angaben des Quelltexts können sie bei erfolgreicher Ausnutzung den Diebstahl von Zugangsdaten, eine Rechteausweitung sowie die Ausführung beliebigen Codes auf dem Host ermöglichen. Alle drei Mängel wurden mit OpenClaw 2026.6.6 behoben.

Die Maintainer von OpenClaw betonten in ihren Hinweisen aus der vergangenen Woche, dass die praktische Tragweite von der jeweiligen Konfiguration abhängt und davon, ob Eingaben aus weniger vertrauenswürdigen Quellen überhaupt an die anfälligen Funktionen gelangen. Chinmohan Nayak, dem die Entdeckung und Meldung der Schwachstellen zugeschrieben wird, beschreibt in seinem Bericht jedoch einen konkreten Angriffsweg: Demnach lassen sich die Lücken nutzen, um aus einer externen WhatsApp-Nachricht heraus eine Codeausführung auf dem Host anzustoßen.

Laut Nayak unterscheiden sich die neuen Schwachstellen damit deutlich von den Claw-Chain-Lücken, die Cyera im Mai veröffentlicht hatte. Bei den nun identifizierten Fehlern müsse ein Angreifer keinen vorherigen Zugang etablieren, um sensible Daten zu extrahieren, eine persistente Hintertür abzulegen, beliebige Remote-Codeausführung zu erlangen und einen Ausbruch auf den Host zu ermöglichen.

Ein zentrales Detail betrifft nach Nayaks Beschreibung GHSA-575v-8hfq-m3mc. Die Funktion „getBlockedReasonForSourcePath()“ prüfe, ob sich ein Quellpfad unterhalb eines blockierten Pfads befindet. Nicht geprüft werde jedoch der umgekehrte Fall: ob ein blockierter Pfad unterhalb des Quellpfads liegt. Der Forscher bezeichnet das als Umgehung über das Elternverzeichnis.

Konkret blockiert die Denylist für Bind-Mounts Verzeichnisse wie „/.ssh“, „/.aws“ und „~/.gnupg“. Gleichzeitig sei es aber möglich, übergeordnete Verzeichnisse wie „/home“ oder „/var“ einzubinden. Damit würden die einzelnen Sperren faktisch unterlaufen. Nayak zufolge lassen sich bei einem Mount von „/home“ die SSH-Schlüssel aller Nutzer, AWS-Zugangsdaten und GPG-Geheimnisse lesen. Ein Mount von „/var“ eröffne Zugriff auf den Docker-Socket, was aus seiner Sicht einen vollständigen Ausbruch aus der „Sandbox“ auf den Host ermögliche.

Neben dem Update auf die aktuelle Version empfehlen die verfügbaren Hinweise zusätzliche Härtungsmaßnahmen. Für alle Sitzungen außerhalb der Hauptsitzung solle der Sandbox-Modus aktiviert werden. Außerdem werde geraten, „exec“ aus der Werkzeug-Positivliste für kanalgebundene Agenten zu entfernen und nach „git clone“-Befehlen Ausschau zu halten, die den externen Protokoll-Helfer „ext::“ enthalten, weil sich dieser zum Ausführen beliebiger Systembefehle missbrauchen lasse.

OpenClaw rät darüber hinaus, die betroffene Funktion bis zur Aktualisierung nur vertrauenswürdigen Betreibern zugänglich zu machen oder sie ganz zu deaktivieren, wenn sie nicht benötigt wird. Als allgemeine Härtung empfehlen die Maintainer zudem eng gefasste Kanal- und Werkzeug-Positivlisten, keine gemeinsame Nutzung eines Gateways durch Nutzergruppen, die sich gegenseitig nicht vertrauen, sowie erneut das Abschalten der betroffenen Funktion, wenn sie nicht erforderlich ist.