Eine neue Studie warnt davor, dass Openclaw vor einem systemweiten Sicherheitszusammenbruch steht, nachdem Forscher kritische Sicherheitslücken, mit Malware infizierte Erweiterungen und Risiken durch Prompt-Injektionen entdeckt haben, die es Angreifern ermöglichen, Daten zu stehlen oder Systeme zu kapern.
Studie: Kritische Sicherheitslücke in Openclaw ermöglicht vollständige Übernahme der Administratorrechte
GESCHRIEBEN VON
TEILEN
Der Irrglaube an die „vertrauenswürdige Umgebung“
Eine Studie der Web3-Sicherheitsfirma Certik vom 31. März hat einen „systemischen Zusammenbruch“ der Sicherheitsgrenzen innerhalb von Openclaw, einer Open-Source-Plattform für künstliche Intelligenz (KI), aufgedeckt. Trotz seines rasanten Aufstiegs auf über 300.000 GitHub-Stars hat das Framework in nur vier Monaten mehr als 100 CVEs und 280 Sicherheitshinweise angesammelt, wodurch eine von Forschern als „grenzenlos“ bezeichnete Angriffsfläche entstanden ist. Der Bericht hebt einen grundlegenden architektonischen Fehler hervor: Openclaw wurde ursprünglich für „vertrauenswürdige lokale Umgebungen“ konzipiert. Als die Popularität der Plattform jedoch explosionsartig zunahm, begannen Nutzer, sie auf Servern mit Internetanbindung einzusetzen – ein Übergang, für den die Software nie ausgelegt war. Laut dem Studienbericht identifizierten die Forscher mehrere hochriskante Schwachstellen, die Nutzerdaten gefährden, darunter die kritische Schwachstelle CVE-2026-25253, die es Angreifern ermöglicht, die vollständige administrative Kontrolle zu erlangen. Indem sie einen Nutzer dazu verleiten, auf einen einzigen bösartigen Link zu klicken, können Hacker Authentifizierungstoken stehlen und den KI-Agenten kapern. Unterdessen ergaben weltweite Scans mehr als 135.000 internetexponierte Openclaw-Instanzen in 82 Ländern. Bei vielen davon war die Authentifizierung standardmäßig deaktiviert, wodurch API-Schlüssel, Chat-Verläufe und sensible Anmeldedaten im Klartext offengelegt wurden. Der Bericht stellt zudem fest, dass das Repository der Plattform für von Nutzern geteilte „Skills“ von Malware infiltriert wurde und Hunderte dieser Erweiterungen Infostealer enthielten, die darauf ausgelegt waren, gespeicherte Passwörter und Kryptowährungs-Wallets abzugreifen. Darüber hinaus verstecken Angreifer nun bösartige Anweisungen in E-Mails und Webseiten. Wenn der KI-Agent diese Dokumente verarbeitet, kann er dazu gezwungen werden, Dateien zu exfiltrieren oder unbefugte Befehle auszuführen, ohne dass der Nutzer davon Kenntnis hat.
„Openclaw ist zu einer Fallstudie dafür geworden, was passiert, wenn große Sprachmodelle keine isolierten Chat-Systeme mehr sind und beginnen, in realen Umgebungen zu agieren“, sagte ein leitender Prüfer von Penligent. „Es bündelt klassische Softwarefehler in einer Laufzeitumgebung mit weitreichenden Befugnissen, wodurch die Auswirkungen eines einzelnen Fehlers enorm sind.“
Empfehlungen zur Risikominderung und Sicherheit
Als Reaktion auf diese Erkenntnisse drängen Experten auf einen „Security-First“-Ansatz sowohl für Entwickler als auch für Endnutzer. Für Entwickler empfiehlt die Studie, von Anfang an formale Bedrohungsmodelle zu etablieren, eine strenge Sandbox-Isolation durchzusetzen und sicherzustellen, dass jeder von der KI erzeugte Unterprozess nur unveränderliche Berechtigungen mit geringen Privilegien erbt.
Unternehmensanwender werden dringend aufgefordert, EDR-Tools (Endpoint Detection and Response) einzusetzen, um unbefugte Openclaw-Installationen innerhalb von Unternehmensnetzwerken aufzuspüren. Einzelanwendern wird hingegen empfohlen, das Tool ausschließlich in einer Sandbox-Umgebung ohne Zugriff auf Produktionsdaten auszuführen. Vor allem müssen Anwender auf Version 2026.1.29 oder höher aktualisieren, um bekannte Schwachstellen für die Remote-Code-Ausführung (RCE) zu beheben.
Openclaw-KI-Funktionen sind anfällig für böswillige Angriffe, warnen Forscher von Certik
Forscher von Certik haben festgestellt, dass die „Skill-Scanning“-Funktion und die KI-gestützte Moderation durch bösartige Erweiterungen von Drittanbietern umgangen werden können. read more.
Jetzt lesen
Openclaw-KI-Funktionen sind anfällig für böswillige Angriffe, warnen Forscher von Certik
Forscher von Certik haben festgestellt, dass die „Skill-Scanning“-Funktion und die KI-gestützte Moderation durch bösartige Erweiterungen von Drittanbietern umgangen werden können. read more.
Jetzt lesenOpenclaw-KI-Funktionen sind anfällig für böswillige Angriffe, warnen Forscher von Certik
Jetzt lesenForscher von Certik haben festgestellt, dass die „Skill-Scanning“-Funktion und die KI-gestützte Moderation durch bösartige Erweiterungen von Drittanbietern umgangen werden können. read more.
Zwar haben sich die Entwickler von Openclaw kürzlich mit Virustotal zusammengetan, um hochgeladene Skills zu scannen, doch warnen die Forscher von Certik, dass dies „keine Wunderwaffe“ sei. Bis die Plattform eine stabilere Sicherheitsphase erreicht, lautet der Konsens in der Branche, die Software als grundsätzlich nicht vertrauenswürdig zu behandeln.
FAQ ❓
- Was ist Openclaw? Openclaw ist ein Open-Source-KI-Framework, das schnell auf über 300.000 GitHub-Stars angewachsen ist.
- Warum ist es riskant? Es wurde für vertrauenswürdige lokale Nutzung entwickelt, wird nun aber weitreichend online eingesetzt, wodurch erhebliche Schwachstellen offengelegt werden.
- Welche Bedrohungen bestehen? Kritische CVEs, mit Malware infizierte Erweiterungen und über 135.000 exponierte Instanzen in 82 Ländern.
- Wie können Nutzer sich schützen? Führen Sie die Software nur in Sandbox-Umgebungen aus und aktualisieren Sie auf Version 2026.1.29 oder höher.
