Das eigentliche Problem liegt laut Oasis Security im überzogenen Vertrauen gegenüber lokalen Verbindungen. Das Gateway lockert für Verbindungen von localhost mehrere Sicherheitsmechanismen: So werden neue Geräteregistrierungen ohne Rückfrage stillschweigend genehmigt. Während normalerweise der Nutzer die Kopplung eines neuen Geräts bestätigen muss, geschieht dies von localhost aus automatisch.

Den Fix veröffentlichte OpenClaw mit Version 2026.2.25. Nutzern wird geraten, die Aktualisierungen rasch einzuspielen, die an KI-Agenten erteilten Zugriffe regelmäßig zu prüfen und für nicht-menschliche (agentische) Identitäten geeignete Kontrollen durchzusetzen.

Die Meldung fällt in eine Phase verstärkter Prüfung des OpenClaw-Ökosystems. Hintergrund ist, dass KI-Agenten weitreichenden Zugriff auf unterschiedliche Systeme besitzen und Aufgaben über Unternehmenswerkzeuge hinweg ausführen dürfen – der Schaden bei einer Kompromittierung fällt entsprechend groß aus. Berichte von Bitsight und NeuralTrust beschrieben, wie mit dem Internet verbundene OpenClaw-Instanzen die Angriffsfläche vergrößern und sich durch eingeschleuste Prompt-Injektionen in verarbeiteten Inhalten – etwa einer E-Mail oder einer Slack-Nachricht – zur Waffe umfunktionieren lassen.

Parallel schloss OpenClaw eine Schwachstelle zur Log-Vergiftung, über die Angreifer per WebSocket-Anfragen an eine öffentlich erreichbare Instanz auf TCP-Port 18789 schädliche Inhalte in Logdateien schreiben konnten. Da der Agent seine eigenen Logs zur Fehlersuche liest, ließen sich darüber indirekte Prompt-Injektionen einbetten. Laut Eye Security bedeutet dies keine sofortige Übernahme, sondern eine Manipulation der Schlussfolgerungen des Agenten, eine Beeinflussung von Fehlerbehebungsschritten, mögliche Datenoffenlegung sowie indirekten Missbrauch angebundener Integrationen. Behoben wurde das Problem in Version 2026.2.13.

In den vergangenen Wochen erwies sich OpenClaw zudem als anfällig für mehrere Schwachstellen (CVE-2026-25593, CVE-2026-24763, CVE-2026-25157, CVE-2026-25475, CVE-2026-26319, CVE-2026-26322, CVE-2026-26329) von mittlerem bis hohem Schweregrad, die Remote Code Execution, Command Injection, Server-Side Request Forgery (SSRF), Authentifizierungsumgehung und Path Traversal ermöglichen konnten. Sie wurden in den Versionen 2026.1.20, 2026.1.29, 2026.2.1, 2026.2.2 und 2026.2.14 behoben.

Neue Forschung zeigt überdies, dass bösartige Skills auf ClawHub – einem offenen Marktplatz für OpenClaw-Skills – als Vehikel für eine neue Variante des macOS-Infostealers Atomic Stealer dienen, der vom Cyberkriminellen Cookie Spider entwickelt und vermietet wird. Laut Trend Micro beginnt die Infektionskette mit einer unauffälligen SKILL.md, die eine Voraussetzung installiert; OpenClaw ruft die auf einer Website hinterlegten Anweisungen ab und folgt ihnen, sofern das LLM dies entscheidet. Die Anweisungen auf “openclawcli.vercel[.]app” laden eine Stealer-Nutzlast vom Server “91.92.242[.]30”.

Dieselbe IP-Adresse, zuvor von Koi Security und OpenSourceMalware dokumentiert, nutzt auch ein Akteur namens @liuhui1010, der unter legitimen Skill-Einträgen Kommentare hinterlässt und Nutzer auffordert, bei vermeintlichen Problemen unter macOS einen bereitgestellten Terminal-Befehl auszuführen.

Eine Analyse von 3.505 ClawHub-Skills durch Straiker fand mindestens 71 bösartige, von denen sich einige als Kryptowährungswerkzeuge ausgaben, aber Gelder auf Wallets der Angreifer umleiteten. Zwei weitere Skills, bob-p2p-beta und runware, wurden einem mehrstufigen Krypto-Betrug zugeordnet, der eine Angriffskette von Agent zu Agent nutzt. Verantwortlich ist laut den Forschern Yash Somalkar und Dan Regalado ein Akteur unter den Aliassen “26medias” auf ClawHub und “BobVonNeumann” auf Moltbook und X. BobVonNeumann tritt im Agenten-Netzwerk Moltbook selbst als KI-Agent auf und bewirbt seine Skills direkt gegenüber anderen Agenten – ein Lieferketten-Angriff mit aufgesetztem Social Engineering. bob-p2p-beta weist andere Agenten an, private Solana-Wallet-Schlüssel im Klartext zu speichern, wertlose $BOB-Token auf pump.fun zu kaufen und Zahlungen über Angreifer-Infrastruktur zu leiten.

Auch Microsoft warnte vor den Risiken selbst gehosteter Agenten-Laufzeitumgebungen. Laut dem Microsoft Defender Security Research Team sollte OpenClaw als nicht vertrauenswürdige Codeausführung mit dauerhaften Anmeldedaten behandelt und nicht auf einem üblichen privaten oder geschäftlichen Arbeitsplatzrechner betrieben werden. Eine Evaluierung dürfe nur in einer vollständig isolierten Umgebung wie einer dedizierten virtuellen Maschine erfolgen, mit eigenen, nicht privilegierten Anmeldedaten, Zugriff allein auf nicht sensible Daten sowie fortlaufender Überwachung und einem Wiederaufbauplan.