Studie: Kritische Schwachstelle in Openclaw ermöglicht vollständiges administratives Kapern

Eine neue Studie warnt, dass Openclaw aufgrund eines systemischen Sicherheitskollapses in Schwierigkeiten gerät, nachdem Forschende kritische Schwachstellen, mit Malware infizierte Erweiterungen und Risiken durch Prompt Injection gefunden haben, die es Angreifern ermöglichen, Daten zu stehlen oder Systeme zu übernehmen.

Der Trugschluss „Trusted Environment“

Eine Studie vom 31. März des Web3-Sicherheitsunternehmens Certik hat den Vorhang für einen „systemischen Kollaps“ der Sicherheitsgrenzen innerhalb von Openclaw gelüftet, einer Open-Source-Plattform für künstliche Intelligenz (KI). Trotz seines rasanten Aufstiegs auf mehr als 300.000 Github-Stars hat das Framework in nur vier Monaten mehr als 100 CVEs und 280 Sicherheitsmeldungen gesammelt und erzeugt damit, was Forschende als „unbegrenzte“ Angriffsoberfläche bezeichnen.

Der Bericht hebt einen grundlegenden architektonischen Fehler hervor: Openclaw wurde ursprünglich für „vertrauenswürdige lokale Umgebungen“ entwickelt. Doch als die Popularität der Plattform explodierte, begannen Nutzer, sie auf im Internet erreichbaren Servern einzusetzen – einen Wechsel, den die Software nie für den Umgang vorgesehen war.

Laut dem Studienbericht haben Forschende mehrere hochriskante Schwachstellen identifiziert, die Benutzerdaten gefährden, darunter die kritische Schwachstelle, CVE-2026-25253, die Angreifern ermöglicht, die vollständige administrative Kontrolle zu übernehmen. Indem sie einen Nutzer dazu bringen, auf einen einzigen bösartigen Link zu klicken, können Hacker Authentifizierungstokens stehlen und den KI-Agenten kapern.

Währenddessen zeigten globale Scans mehr als 135.000 im Internet exponierte Openclaw-Instanzen in 82 Ländern. Bei vielen war die Authentifizierung standardmäßig deaktiviert, wodurch API-Keys, Chatverläufe und sensible Zugangsdaten im Klartext offengelegt wurden. Der Bericht behauptet außerdem, dass das Repository der Plattform für von Nutzern geteilte „Skills“ von Malware infiltriert wurde, und Hunderte dieser Erweiterungen wurden dabei gefunden, infostealer einzubinden, die gespeicherte Passwörter und Kryptowährungs-Wallets abgreifen sollen.

Darüber hinaus verstecken Angreifer inzwischen bösartige Anweisungen in E-Mails und Webseiten. Wenn der KI-Agent diese Dokumente verarbeitet, kann er dazu gezwungen werden, Dateien zu exfiltrieren oder nicht autorisierte Befehle auszuführen, ohne dass der Nutzer davon weiß.

„Openclaw ist zu einem Fallbeispiel dafür geworden, was passiert, wenn große Sprachmodelle nicht mehr isolierte Chat-Systeme sind und stattdessen in realen Umgebungen agieren“, sagte ein leitender Auditor von Penligent. „Es bündelt klassische Software-Fehler in eine Laufzeit mit hoher delegierter Autorität und macht damit die Explosionsreichweite jedes einzelnen Bugs immens.“

Minderung und Sicherheitsempfehlungen

Als Reaktion auf diese Erkenntnisse drängen Fachleute auf einen „security-first“-Ansatz sowohl für Entwickler als auch für Endnutzer. Für Entwickler empfiehlt die Studie, bereits ab Tag eins formale Bedrohungsmodelle zu etablieren, eine strikte Sandbox-Isolation durchzusetzen und sicherzustellen, dass jedes von der KI gestartete Subprozess nur Low-Privilege-, unveränderliche Berechtigungen erbt.

Für Unternehmensnutzer werden Sicherheitsteams dazu angehalten, Tools zur Erkennung und Reaktion am Endpunkt (EDR) zu verwenden, um nicht autorisierte Openclaw-Installationen innerhalb von Unternehmensnetzwerken zu lokalisieren. Andererseits werden einzelne Nutzer ermutigt, das Tool ausschließlich in einer sandboxed Umgebung ohne Zugriff auf Produktionsdaten auszuführen. Am wichtigsten ist, dass Nutzer auf Version 2026.1.29 oder neuer aktualisieren müssen, um bekannte Schwächen zur Ausführung von Remote Code (RCE) zu beheben.

Während die Entwickler von Openclaw kürzlich eine Partnerschaft mit Virustotal eingegangen sind, um hochgeladene Skills zu scannen, warnen Certik-Forschende, dass dies „kein Allheilmittel“ ist. Bis die Plattform eine stabilere Sicherheitsphase erreicht, lautet die Branchen-Konsensmeinung, die Software als grundsätzlich nicht vertrauenswürdig zu behandeln.

FAQ ❓

• Was ist Openclaw? Openclaw ist ein Open-Source-KI-Framework, das schnell auf 300.000+ GitHub-Stars gewachsen ist.
• Warum ist es riskant? Es wurde für vertrauenswürdige lokale Nutzung gebaut, wird aber inzwischen breit online eingesetzt und legt erhebliche Schwächen offen.
• Welche Bedrohungen gibt es? Kritische CVEs, mit Malware infizierte Erweiterungen und 135.000+ exponierte Instanzen in 82 Ländern.
• Wie können Nutzer sicher bleiben? Nur in sandboxed Umgebungen ausführen und auf Version 2026.1.29 oder neuer aktualisieren.