Die Schwachstelle steckt in OpenClaw, genauer in der Art, wie der MCP-Dienst über die lokale Loopback-Schnittstelle bestimmt, welcher Client als Eigentümer (Owner) gilt. Diese Eigentümer-Zuordnung leitet die Software aus Bearer-Tokens ab, die der Server selbst ausstellt und die im Anfrage-Header mitgeschickt werden – doch diese Token lassen sich fälschen. Über die Loopback-Verbindung verbundene Clients, die eigentlich keine Eigentümerrechte besitzen, können dadurch die Header-Metadaten zur Absender-Eigentümerschaft manipulieren und sich gegenüber dem Dienst fälschlich als Eigentümer ausgeben. Auf diese Weise umgehen sie Funktionen, die eigentlich dem Eigentümer vorbehalten sind, und führen Aktionen aus, für die ihnen die Berechtigung fehlt. Der Kern des Problems ist, dass die Vertrauensentscheidung an einem Wert festgemacht wird, der vom Client beeinflusst werden kann, statt an einem nicht manipulierbaren Nachweis. Betroffen sind lokal über die Loopback-Schnittstelle erreichbare MCP-Clients.