Die Schwachstelle betrifft den persönlichen KI-Assistenten OpenClaw, genauer die Upload-Funktion seines Browser-Werkzeugs. Über diese Aktion lassen sich Dateipfade angeben, die das System ungeprüft an die Dateiauswahl der zugrunde liegenden Browser-Steuerung (Playwright) weiterreicht. Da der Server die Pfade nicht auf ein sicheres Wurzelverzeichnis beschränkt, kann ein angemeldeter Angreifer absolute Pfade oder Verzeichniswechsel-Sequenzen einschleusen und dadurch beliebige Dateien vom Gateway-Host auslesen. Voraussetzung ist, dass der Angreifer die HTTP-Schnittstelle des Gateways erreicht, über gültige Zugangsdaten verfügt (Token oder Passwort) und das Browser-Werkzeug für die jeweilige Sitzung freigeschaltet ist. In üblichen Standardinstallationen lauscht das Gateway nur auf der lokalen Schnittstelle, wobei bereits ein Zugangstoken erzeugt wird. Wird das Gateway jedoch darüber hinaus im Netzwerk freigegeben, etwa über LAN, Tunnel oder einen Reverse-Proxy, vergrößert sich die Angriffsfläche entsprechend. In neueren Versionen sind die Upload-Pfade auf das temporäre Upload-Verzeichnis begrenzt und Ausbruchsversuche werden abgewiesen.