Die Schwachstelle betrifft OpenClaw, einen persönlichen KI-Assistenten, den man auf den eigenen Geräten selbst betreibt. Sie steckt im Mechanismus, mit dem OpenClaw Befehle in einer abgeschotteten Docker-Umgebung ausführt. Beim Zusammensetzen der Shell-Kommandos wird die PATH-Umgebungsvariable unsicher verarbeitet. Dadurch entsteht eine Befehlsinjektion: Ein bereits angemeldeter Nutzer, der Umgebungsvariablen kontrollieren kann, kann die Befehlsausführung innerhalb des Containers beeinflussen und so eigene Kommandos einschleusen. Voraussetzung für den Angriff ist also eine vorherige Authentifizierung sowie die Möglichkeit, Umgebungsvariablen zu setzen. Da der betroffene Code gerade die Sandbox bildet, die fremden Code eigentlich vom restlichen System trennen soll, untergräbt die Lücke genau jene Schutzschicht, die die Ausführung unsicheren Codes eindämmen soll.