Vier verkettbare Sicherheitslücken in OpenClaw, einer der am schnellsten verbreiteten Open-Source-Plattformen für autonome KI-Agenten, gehen unter dem Namen Claw Chain durch die Sicherheitswelt. Entdeckt vom Cyera-Research-Team, im April gemeldet, am 23. April gepatcht, in den vergangenen Tagen breit öffentlich gemacht. Zusammen ergeben die vier Schwachstellen einen vollständigen Übernahmepfad. Ein Angreifer kann den Agenten kapern, Geheimnisse abgreifen, Rechte ausweiten und Hintertüren hinterlassen.
Die schwerste Lücke CVE-2026-44112 bekommt einen CVSS-Score von 9,6. Sie ist eine Race-Condition in der Sandbox, durch die sich Schreibzugriffe aus dem isolierten Bereich herauslenken lassen. Damit kann ein Angreifer Backdoors platzieren und die Konfiguration des Hosts verändern. Die anderen drei Lücken liefern den Weg dorthin. CVE-2026-44113 (7,7) und CVE-2026-44115 (8,8) lesen Dateien außerhalb der Sandbox und expandieren Environment-Variablen mit API-Keys und Tokens in vermeintlich sicheren Befehlen. CVE-2026-44118 (7,8) täuscht den Server über die Identität des Aufrufers, sodass sich ein einfacher Prozess zum Owner aufschwingt. Shodan listet rund 65.000 öffentlich erreichbare OpenClaw-Server, ZoomEye 180.000. Zusammen etwa 245.000.
Der Befund trifft mehr als nur Entwickler-Setups. OpenClaw verbindet Sprachmodelle direkt mit Dateisystemen, SaaS-Anwendungen, Anmeldedaten und Ausführungsumgebungen, oft eingebaut in IT-Automation, Kundenservice und Workflow-Plattformen wie Microsoft Agent 365, Telegram oder Discord. Cyera bringt es nüchtern auf den Punkt. KI-Agenten sind zur Hauptausführungsfläche im Unternehmen geworden, die Sicherheitsmodelle dazu hinken hinterher. Wer einen Agenten mit weitreichendem Zugriff betreibt, sollte ihn behandeln wie einen Service-Account, mit Logging, Schlüssel-Rotation und eng gefassten Rechten. Dass das selten passiert, ist aus anderen Kontexten bekannt.
Alle vier Lücken sind gepatcht. Wer Updates eingespielt hat und seine Instanz nicht ungeschützt ins offene Netz stellt, ist nicht akut gefährdet. Trotzdem empfiehlt Cyera, im Zweifel API-Keys und Bearer-Tokens zu rotieren. Wer in den vergangenen Wochen einen öffentlich erreichbaren OpenClaw-Server betrieben hat, muss davon ausgehen, dass die im Agenten-Kontext sichtbaren Geheimnisse kompromittiert sind.
Quellen
- Cyera Research: Claw Chain — Cyera Research Unveil Four Chainable Vulnerabilities in OpenClaw
- Dark Reading: ‘Claw Chain’ Vulnerabilities Threaten OpenClaw Deployments
- Cybersecurity News: OpenClaw Chain Vulnerabilities Expose 245,000 Public AI Agent Servers to Attack
Ähnliche News
- PwC stellt 30.000 Berater auf Claude um
- Google macht Android zum KI-Agenten mit Gemini Intelligence
- KI-Agenten hacken Computer und kopieren sich selbst
Diese Meldung wurde mit Unterstützung von Claude (Anthropic) recherchiert und verfasst. Inhaltliche Fehler sind möglich. Die verlinkten Quellen ermöglichen eine eigene Prüfung. Fachbegriffe erläutert das Glossar.