Blogs & Artikel

⚠️ OpenClaw: Warum Cybersicherheitsexperten empfehlen, von einer Kompromittierung auszugehen
08 avril 2026
Autor Peter Senn
#OpenClaw #Cybersicherheit #KI-Agenten #CVE #Docker #KMU-Sicherheit #ClawHub #Schwachstelle #Lieferkette #Privilegienerweiterung
  • Aktualisiert am:

    • ⚠️ OpenClaw: Warum Cybersicherheitsexperten empfehlen, von einer Kompromittierung auszugehen

    Aktive Warnung: Diese Warnung betrifft alle OpenClaw-Versionen vor 2026.3.28. Wenn Sie noch kein Update durchgeführt haben, behandeln Sie Ihre Umgebung als potenziell kompromittiert.

    OpenClaw (ehemals Clawdbot) ist ein Open-Source-KI-Agent-Framework, das es einem KI-Assistenten ermöglicht, im Namen eines Benutzers zu handeln – Dateien, Slack, Discord, Telegram, Online-Einkäufe – unter Verwendung seiner eigenen Zugriffsrechte und Berechtigungen. Es wurde im November 2025 gestartet und erreichte 347.000 GitHub-Sterne in weniger als sechs Monaten. Ebenfalls in fünf Monaten wurden 138 CVEs damit in Verbindung gebracht – darunter 7 kritische, 49 mit hoher Schwere. Wenn Sie oder Ihr Team OpenClaw verwenden, ist die von Experten empfohlene Haltung eindeutig: Gehen Sie davon aus, dass Sie kompromittiert sind.

    Wichtige Punkte

    • CVE-2026-25253 (CVSS 8.8): 1-Klick-RCE über WebSocket, 35 % der Instanzen exponiert
    • CVE-2026-22172 (CVSS 9.9) + CVE-2026-32922 (CVSS 9.9): Admin-Kontrolle ohne Anmeldeinformationen
    • 12 % der ClawHub-Skills im Februar 2026 bösartig – 824+ aktiv am 3. April 2026 (ClawHavoc-Kampagne)
    • +135.000 exponierte Instanzen, davon 63 % ohne Authentifizierung (ARMO, 2026)
    • Microsoft rät von jeglicher Bereitstellung auf Rechnern mit sensiblen Daten ab (19.02.2026)
    • Empfohlene Mindestversion: 2026.3.28

    Was ist OpenClaw?

    OpenClaw (ehemals Clawdbot) ist ein Open-Source-KI-Agent-Framework, das es einem KI-Assistenten ermöglicht, Aktionen im Namen eines menschlichen Benutzers zu automatisieren – Zugriff auf lokale und Netzwerkdateien, Slack- und Discord-Messaging, Telegram-Verwaltung, Online-Transaktionen, Ausführung von Aufgaben auf Drittanbieterdiensten – unter Verwendung derselben Rechte und Anmeldeinformationen wie der Benutzer.

    OpenClaw wurde im November 2025 gestartet und erreichte in weniger als sechs Monaten 347.000 GitHub-Sterne. Seine Popularität ist viral. Sein Sicherheitsmodell ist jedoch grundsätzlich fragil: Der Agent verfügt über die gleichen Rechte wie der Benutzer und ist mit all seinen Diensten verbunden. Eine Schwachstelle gefährdet nicht eine isolierte Komponente – sie gefährdet alles, worauf der Agent Zugriff hatte.

    Chronologie der Vorfälle (November 2025 – April 2026)

    Datum Vorfall Schweregrad
    November 2025 Start von OpenClaw (ehemals Clawdbot), virale Akzeptanz – 347.000 ⭐ GitHub
    Januar 2026 CVE-2026-25253 (CVSS 8.8): 1-Klick-RCE über lokales WebSocket, innerhalb von 48 Stunden gepatcht. 35 % der Instanzen exponiert. Ein ungepatchter Docker in <90 s kompromittiert 🔴 Kritisch
    Februar 2026 ClawHavoc-Kampagne: 12 % der ClawHub-Skills bösartig (341/2.857) – Keylogger und Credential Stealer 🔴 Kritisch
    19. Februar 2026 Microsoft Security Blog: Offizielle Anleitung, die von der Bereitstellung auf jedem Rechner mit sensiblen Daten abrät 🟠 Warnung
    März 2026 CVE-2026-22172 (CVSS 9.9): Selbsterklärung von Admin-Scopes über WebSocket – alle Versionen vor 2026.3.12 🔴 Kritisch
    19. März 2026 CVE-2026-32038: Umgehung der Docker-Netzwerkisolation über network=container:. Behoben in 2026.2.24 🔴 Kritisch
    29. März 2026 CVE-2026-32922 (CVSS 9.9): Eskalation über device.token.rotate – +135.000 exponierte Instanzen, 63 % ohne Auth 🔴 Kritisch
    3. April 2026 Ars Technica: "Assume compromise" – 3 neue kritische Schwachstellen, darunter CVE-2026-33579 (CVSS 9.8). 824+ aktive bösartige Skills 🔴 Kritisch
    138 CVEs zwischen Februar und April 2026 verfolgt – darunter 7 kritische und 49 mit hoher Schwere (Blink Security, April 2026)

    Die 5 wichtigsten entschlüsselten Schwachstellen

    CVE-2026-25253 – Remote Code Execution mit 1 Klick (CVSS 8.8)

    RCE (Remote Code Execution): Schwachstelle, die es einem Remote-Angreifer ermöglicht, beliebigen Code auf dem Zielrechner auszuführen, ohne physischen Zugriff oder Benutzerinteraktion über den einfachen Besuch einer bösartigen Webseite hinaus.

    Die Schwachstelle nutzt das WebSocket-Gateway von OpenClaw (Standardport 18789, unzureichende ursprüngliche Validierung). Ein einfacher Besuch einer präparierten Seite reichte aus, um den Rechner zu kompromittieren. 35 % der bereitgestellten Instanzen waren exponiert. Ein ungepatchter Docker-Container wurde in den Demonstrationsversuchen in weniger als 90 Sekunden kompromittiert. (ProArch Security, Januar 2026)

    CVE-2026-22172 – Admin-Deklaration über WebSocket (CVSS 9.9)

    WebSocket-Clients konnten sich selbst mit Administratorbereichen deklarieren und die Authentifizierung vollständig umgehen. Betrifft alle Versionen vor 2026.3.12.

    CVE-2026-32038 – Umgehung der Docker-Netzwerkisolation (behoben in 2026.2.24)

    Über den Parameter network=container: griff ein Agent auf den Netzwerk-Namespace anderer Container zu – Datenbank, interne Dienste, private APIs. Erforderte einen vorherigen vertrauenswürdigen Bedienerzugriff.

    CVE-2026-32922 – Eskalation über device.token.rotate (CVSS 9.9)

    Über 135.000 Instanzen im Internet in 82 Ländern exponiert – davon 63 % ohne jegliche Authentifizierung (ARMO Security, März 2026)

    Die Funktion device.token.rotate schränkte die Bereiche der neu generierten Token nicht ein. Ein Angreifer mit der niedrigsten Berechtigungsstufe erhielt die vollständige Administratorkontrolle.

    CVE-2026-33579 – Eskalation über /pair approve (CVSS bis zu 9.8)

    Der Befehl /pair approve übertrug die Sicherheitsbereiche des Antragstellers nicht in die zentrale Autorisierungsprüfung. Gepatcht in Version 2026.3.28. (NVD, April 2026)

    Die ClawHub-Lieferkette: 824+ aktive bösartige Skills

    Credential Stealer: Bösartige Software, die stillschweigend die Anmeldeinformationen erfasst und exfiltriert – OAuth-Token, API-Schlüssel, Umgebungsvariablen – an Server, die vom Angreifer kontrolliert werden, ohne sichtbare Aktionen des Benutzers.

    Im Februar 2026 entdeckten Forscher die Kampagne ClawHavoc: Skills, die über den offiziellen ClawHub verteilt wurden, getarnt als Produktivitätstools (Gmail, Notion, Slack, GitHub), die bösartigen Code enthielten.

    Eckdaten (Blink Security, April 2026): 341 bösartige Skills von 2.857 im Februar 2026 (12 %). Diese Zahl ist gestiegen: 824+ aktive bösartige Skills, die am 3. April 2026 aufgeführt wurden, darunter Keylogger und Credential Stealer, die auf OAuth-Token, API-Schlüssel und Umgebungsvariablen abzielen.

    Docker und VM: Unzureichender Schutz

    Angriffsvektor Docker allein Dedizierte VM Docker + 5 Flags
    CVE-2026-25253 (RCE WebSocket) ⚠️ Teilweise
    CVE-2026-32038 (Netzwerk-Namespace) ❌ vor 2026.2.24
    CVE-2026-22172 (Admin Scope Auto)
    CVE-2026-32922 (device.token.rotate)
    Bösartige Skills ClawHub ⚠️ Teilweise ⚠️ Teilweise
    Kernel-Exploit (gemeinsamer Kernel)
    Microsoft Security Blog (19.02.2026): „Die Runtime kann nicht vertrauenswürdigen Text aufnehmen, Skills aus externen Quellen herunterladen und ausführen und Aktionen mit den ihr zugewiesenen Anmeldeinformationen ausführen – ohne entsprechende Kontrollen der Identität, der Eingabeverwaltung oder der Bereichsbegrenzung der Berechtigungen. Wenn eine Organisation feststellt, dass OpenClaw bewertet werden muss, sollte es nur in einer vollständig isolierten Umgebung bereitgestellt werden – dedizierte VM, nicht privilegierte Anmeldeinformationen, eingeschränkter Zugriff auf nicht sensible Daten, kontinuierliche Überwachung und Wiederherstellungsplan.“
    Microsoft Security Blog, 19. Februar 2026
     
    Merke: Docker reduziert den Wirkungsbereich. Es garantiert keine Unverwundbarkeit. Ein Docker-Container teilt den Host-Kernel – eine Kernel-Schwachstelle gefährdet alle Container auf dem Rechner. Docker umgeht UFW-Regeln, indem es iptables direkt ändert – Ihre VM-Firewall schützt Ihre Container standardmäßig nicht.

    Was Sie jetzt tun müssen

    Obligatorische Updates

    • Update auf OpenClaw 2026.3.28 minimum (schließt CVE-2026-33579 und CVE-2026-32922)
    • Docker-Version ≥ 2026.2.24 (schließt CVE-2026-32038)

    5 obligatorische Docker-Härtungsflags

    docker run \
  --user nobody \
  --read-only \
  --cap-drop=ALL \
  --security-opt=no-new-privileges \
  # NIEMALS den Docker-Socket mounten (/var/run/docker.sock)

    Firewall und Netzwerk

    • Konfigurieren Sie UFW über die iptables-Ketten DOCKER-USER (Standard-UFW-Regeln gelten nicht für Container)
    • Blockieren Sie den Port 18789 in der öffentlichen Exposition
    • Binden Sie das WebSocket-Gateway nur an 127.0.0.1 (niemals 0.0.0.0)

    Audit und Widerruf

    • Überprüfen Sie jeden Skill, der zwischen November 2025 und Ende Februar 2026 von ClawHub installiert wurde
    • Widerrufen und regenerieren Sie alle Token und API-Schlüssel, die mit OpenClaw verbunden sind
    • Behandeln Sie jede vergangene Sitzung als potenziell kompromittiert

    FAQ – Häufig gestellte Fragen zur OpenClaw-Sicherheit

    Reicht ein Update auf 2026.3.28 aus, um geschützt zu sein?

    Der Patch behebt die bekannten Schwachstellen vom 3. April 2026. Er behebt nicht, was möglicherweise während der Expositionswochen passiert ist. Wenn OpenClaw vor dem Patch in Produktion war, bleibt die empfohlene Vorgehensweise: Widerrufen Sie alle Token, setzen Sie alle Anmeldeinformationen zurück und behandeln Sie die Umgebung als potenziell kompromittiert.

    Schützt mich Docker vor OpenClaw-Schwachstellen?

    Nein, nicht vollständig. CVE-2026-25253 (RCE WebSocket) und CVE-2026-22172 (Admin Scope) werden nicht durch Docker allein gemindert. CVE-2026-32038 umging speziell die Docker-Netzwerkisolation. Die 5 Härtungsflags müssen zusätzlich zum Update auf 2026.3.28 angewendet werden.

    Wie viele OpenClaw-Instanzen sind im Internet exponiert?

    Laut Sicherheitsdaten vom April 2026 sind mehr als 135.000 Instanzen von OpenClaw im Internet in 82 Ländern exponiert. Davon laufen 63 % ohne jegliche Authentifizierung (ARMO Security, März 2026) – was bedeutet, dass jeder Netzwerkbesucher einen Pairing-Zugriff anfordern kann, ohne Anmeldeinformationen anzugeben.

    Was soll ich tun, wenn ich vor März 2026 Skills von ClawHub installiert habe?

    Überprüfen Sie jeden Skill, der zwischen November 2025 und Ende Februar 2026 installiert wurde. Skills, die als Produktivitätstools getarnt sind (Gmail, Notion, Slack, GitHub), sind besonders verdächtig. Im Zweifelsfall: Deinstallieren Sie den Skill, widerrufen Sie alle Anmeldeinformationen, auf die OpenClaw Zugriff hatte, und regenerieren Sie die zugehörigen API-Schlüssel.

    Kann OpenClaw in Unternehmen sicher verwendet werden?

    Microsoft Security Blog (19.02.2026): „Es ist nicht angemessen, es auf einem Standard-Privat- oder Firmenrechner auszuführen. Wenn eine Organisation feststellt, dass OpenClaw bewertet werden muss, sollte es nur in einer vollständig isolierten Umgebung bereitgestellt werden – dedizierte VM, nicht privilegierte Anmeldeinformationen, Zugriff nur auf nicht sensible Daten, kontinuierliche Überwachung und Wiederherstellungsplan.“

    Ist das Problem spezifisch für OpenClaw oder strukturell für KI-Agenten?

    Das Problem ist strukturell. Ein KI-Agent, der mit den umfassenden Rechten des Benutzers operiert und mit mehreren Diensten verbunden ist, schafft eine außergewöhnliche Angriffsfläche. Eine Schwachstelle gefährdet nicht eine isolierte Komponente – sie gefährdet alles, worauf der Agent Zugriff hatte. OpenClaw ist ein Paradebeispiel, keine Ausnahme. Das aktuelle Modell „ein Agent, umfassender Zugriff auf alles“ ist grundsätzlich fragil.

    Welche Indikatoren für eine Kompromittierung sind zu überwachen?

    Ungewöhnliche Aktivitäten in Ihren Slack-, Discord-, Telegram- oder GitHub-Konten; OAuth-Token, die ohne Ihr Zutun widerrufen oder regeneriert wurden; neue aktive Sitzungen auf Diensten, auf die OpenClaw Zugriff hatte; Dateien, die ohne identifizierbare Aktion erstellt, geändert oder gelöscht wurden; ausgehende Netzwerkanfragen an unbekannte Domänen vom Server, auf dem OpenClaw gehostet wird.

    Haben Sie Zweifel an Ihrer Sicherheitslage gegenüber KI-Agenten?
    Unsere Bexxo-Experten können Sie bei einem Audit oder einer Compliance-Prüfung unterstützen.
    → Kontaktieren Sie uns auf bexxo.ch

    Quellen

    Einen Artikel suchen

    Kategorien

    CVE Find
    Cybersicherheit
    Dienstleistungen
    KI-Agenten
    Services
    Sicherheitswarnungen

    Tags

    #CVE #CVEFind #ClawHub #Cybersicherheit #Docker #KI-Agenten #KMU #KMU-Sicherheit #Lieferkette #OpenClaw #Privilegienerweiterung #Schwachstelle #Schwachstellen #cvefind #statistiken #statistiques

    Meistgesehen

    CVE-Statistiken - Juni 2025
    CVE-Statistiken - Juni 2025 02 juil. 2025
    CVE-Statistiken - Mai 2025
    CVE-Statistiken - Mai 2025 04 juin 2025
    Regelmäßige Updates: Die Cybersicherheitsstrategie Nr. 1 zur Beseitigung bekannter Schwachstellen
    Regelmäßige Updates: Die Cybersicherheitsstrategie Nr. 1 zur Beseitigung bekannter Schwachstellen 11 janv. 2025
    Warum die Überwachung von Sicherheitslücken für Ihr Unternehmen unerlässlich ist?
    Warum die Überwachung von Sicherheitslücken für Ihr Unternehmen unerlässlich ist? 04 févr. 2025
    Cybersicherheit: Warum sind KMUs besonders anfällig für Cyberangriffe?
    Cybersicherheit: Warum sind KMUs besonders anfällig für Cyberangriffe? 19 mars 2025
    CVE-Statistiken - Dezember 2024
    CVE-Statistiken - Dezember 2024 06 janv. 2025
    CVE-Statistiken - Februar 2025
    CVE-Statistiken - Februar 2025 03 mars 2025
    ⚠️ OpenClaw: Warum Cybersicherheitsexperten empfehlen, von einer Kompromittierung auszugehen
    ⚠️ OpenClaw: Warum Cybersicherheitsexperten empfehlen, von einer Kompromittierung auszugehen 08 avr. 2026
    CVE-Statistiken - November 2024
    CVE-Statistiken - November 2024 02 déc. 2024
    CVE-Statistiken - Januar 2025
    CVE-Statistiken - Januar 2025 03 févr. 2025
    Die auf CVE Find präsentierten Informationen stammen aus mehreren sorgfältig ausgewählten Referenzquellen. CVE-Daten werden von der MITRE Corporation und der National Vulnerability Database (NVD) bereitgestellt. Der Katalog bekannter ausgenutzter Schwachstellen (KEV) stammt von der Cybersecurity and Infrastructure Security Agency (CISA), während EPSS-Scores von FIRST.org kommen. Darüber hinaus werden Daten zu Software-Schwachstellen (CWE) und häufigen Angriffsmustern (CAPEC) von der MITRE Corporation gepflegt, und Informationen zu Hardware- und Software-Konfigurationen (CPE) werden von der NVD bereitgestellt.