Die Schwachstelle betrifft den persönlichen KI-Assistenten OpenClaw und ist eine Befehlsinjektion über das Betriebssystem (OS Command Injection). Sie steckt in der Funktion sshNodeCommand, die für die Ausführung von Befehlen auf einem entfernten SSH-Host zuständig ist. Diese Funktion baut ein Shell-Skript zusammen, ohne den vom Benutzer angegebenen Projektpfad ordnungsgemäß zu maskieren. Schlägt der Wechsel in das Projektverzeichnis fehl, wird der nicht maskierte Pfad direkt in eine Ausgabeanweisung eingesetzt – darüber lassen sich beliebige Befehle auf dem entfernten SSH-Host ausführen. Hinzu kommt eine zweite Lücke in der Funktion parseSSHTarget: Sie prüft nicht, ob eine SSH-Zielangabe mit einem Bindestrich beginnt. Ein vom Angreifer präpariertes Ziel wird dadurch nicht als Rechnername, sondern als SSH-Konfigurationsoption interpretiert. So lässt sich über eine als Proxy-Befehl getarnte Angabe auch auf dem lokalen Rechner beliebiger Code ausführen. Betroffen sind beide Wege gleichermaßen.