Die Schwachstelle steckt im Gateway-Werkzeug des persönlichen KI-Assistenten OpenClaw. Bestimmte Werkzeugaufrufe erlaubten es, eine vom Werkzeug gelieferte Gateway-Adresse zu übergeben, ohne dass diese ausreichend geprüft oder auf erlaubte Ziele eingeschränkt wurde. Dadurch ließ sich der OpenClaw-Host dazu bringen, ausgehende WebSocket-Verbindungen zu frei gewählten Zielen aufzubauen – etwa zu lokalen Diensten, Adressen im internen Netz oder den Metadaten-Endpunkten von Cloud-Umgebungen. Voraussetzung ist die Möglichkeit, solche Werkzeugaufrufe mit überschriebener Adresse auszulösen; in üblichen Installationen ist das auf angemeldete Betreiber, vertrauenswürdige Automatisierung oder Umgebungen beschränkt, in denen Werkzeugaufrufe auch Nicht-Betreibern offenstehen. Wer die Ergebnisse beobachten kann, kann den Host so für eingeschränktes Abtasten der Netzwerk-Erreichbarkeit missbrauchen: Antwortet ein Ziel als WebSocket-Endpunkt und ist erreichbar, ist eine weitergehende Interaktion denkbar. Es handelt sich also um eine serverseitige Anfragefälschung, mit der interne, von außen sonst nicht erreichbare Dienste angesprochen werden können.