OpenClaw hat eine kritische Sicherheitslücke namens ClawJacked geschlossen, die es Angreifern ermöglichte, lokal laufende KI-Agenten über manipulierte Websites zu übernehmen. Das Unternehmen behob die Schwachstelle innerhalb von 24 Stunden.
Der KI-Plattform OpenClaw ist eine gravierende Sicherheitslücke zum Verhängnis geworden. Die Cybersecurity-Experten von Oasis Security identifizierten eine Verwundbarkeit im Kern-System, die es böswilligen Websites ermöglichte, Kontrolle über lokal laufende Künstliche-Intelligenz-Agenten zu erlangen.
Die getaufte Schwachstelle “ClawJacked” nutzt ein klassisches Vertrauensproblem aus: Entwickler betreiben OpenClaw auf ihren Laptops mit einem lokalen WebSocket-Server, der auf Localhost läuft und passwortgeschützt sein soll. Wenn ein Nutzer eine präparierte Website besucht, kann dort eingebetteter JavaScript-Code unbemerkt eine Verbindung zum lokalen OpenClaw-Gateway herstellen – ein Verhalten, das normale Browser-Sicherheitsmechanismen nicht verhindern.
“Die Herausforderung liegt darin, dass das Gateway lokale Verbindungen bevorzugt behandelt”, erklärte Oasis Security. “Normalerweise müssen Nutzer neue Geräte manuell bestätigen. Beim Zugriff vom Localhost erfolgt dies automatisch – ohne Benutzer-Zustimmung.”
OpenClaw reagierte rasch: Bereits am 26. Februar 2026 rollte das Unternehmen Version 2026.2.25 aus. Nutzer sollten Updates umgehend einspielen und ihre Zugriffskontrollrichtlinien überprüfen.
Doch ClawJacked ist nicht die einzige aktuelle Sorge. OpenClaw musste parallel auch eine Log-Poisoning-Sicherheitslücke beheben, die Angreifern erlaubte, bösartige Inhalte in Log-Dateien zu schreiben. Da KI-Agenten diese Logs zur Problemdiagnose auslesen, könnten Angreifer indirekte Prompt-Injektionen einschleusen und das System-Verhalten manipulieren.
Zusätzlich wurden in den vergangenen Wochen mindestens sieben weitere Sicherheitslücken (CVE-2026-25593, CVE-2026-24763, CVE-2026-25157, CVE-2026-25475, CVE-2026-26319, CVE-2026-26322, CVE-2026-26329) dokumentiert, die von moderate bis kritisch eingestuft wurden. Sie ermöglichten Remote-Code-Execution, Command-Injection und Authentication-Bypass – alle wurden in verschiedenen OpenClaw-Versionen zwischen 2026.1.20 und 2026.2.14 gefixt.
Ein weiteres Einfallstor für Bedrohungen ist ClawHub, Openclaw’s öffentlicher Marktplatz für KI-Skills. Sicherheitsforscher von Trend Micro dokumentierten, wie Angreifer schädliche Skills als legitime Tools tarnen. Eine Kampagne nutzte dabei den macOS-Infostealer “Atomic Stealer” – betrieben von einem Cyberkriminellen namens Cookie Spider. Nutzer werden durch verfälschte Installationsanweisungen dazu gebracht, schadhaften Code auszuführen.
Sogar aggressivere Taktiken zeigen sich: Der Angreifer @liuhui1010 hinterlässt Kommentare auf legitimen Skill-Seiten und verleitet Nutzer dazu, manipulierte Terminal-Befehle auszuführen.
Eine Analyse von 3.505 ClawHub-Skills durch Straiker enthüllte mindestens 71 bösartige Einträge. Besonders bemerkenswert: Die Skills “bob-p2p-beta” und “runware” bilden ein mehrstufiges Krypto-Betrugs-Netzwerk. Betrieben vom Nutzer “BobVonNeumann”, nutzen diese Skills eine Agentur-zu-Agentur-Angriffskette aus und leiten Solana-Wallet-Schlüssel ab oder manipulieren andere Agenten zum Kauf wertloser Token.
Microsoft hat deshalb eine offizielle Warnung ausgegeben und rät, OpenClaw nur in isolierten virtuellen Maschinen zu betreiben – keinesfalls auf Standard-Arbeitsplätzen. Das Unternehmen empfiehlt zudem, Credentials einzuschränken, nur nicht-sensitive Daten zu verarbeiten und kontinuierliche Überwachung zu implementieren.
Die Sicherheitsrisiken unterstreichen einen generellen Trend: KI-Agenten mit persistenten Zugangsrechten müssen als “untrusted code execution” behandelt werden – nicht als normale Softwarekomponenten.
Quelle: The Hacker News