Blogs & Artikel

⚠️ OpenClaw: Warum Cybersicherheitsexperten empfehlen, von einer Kompromittierung auszugehen
08 avril 2026
Autor Peter Senn
#OpenClaw #Cybersicherheit #KI-Agenten #CVE #Docker #KMU-Sicherheit #ClawHub #Schwachstelle #Lieferkette #Privilege Escalation
  • Aktualisiert am:

    • ⚠️ OpenClaw: Warum Cybersicherheitsexperten empfehlen, von einer Kompromittierung auszugehen

    🔄 Update 20. April 2026 – Die empfohlene Mindestversion ist jetzt OpenClaw ≥ 2026.4.14 (und nicht mehr 2026.3.28). Der Patch-Batch vom April 2026 hat mindestens 13 neue CVEs hinzugefügt, darunter CVE-2026-35639 (CVSS 8.7), CVE-2026-34511 (OAuth PKCE), CVE-2026-35636 (SessionId-Hijacking) und CVE-2026-40037 (SSRF Cross-Origin). Das Tempo der CVE-Veröffentlichungen verlangsamt sich nicht – die Haltung „Gehen Sie davon aus, dass Sie kompromittiert sind“ ist aktueller denn je.
     
    Aktive Warnung: Diese Warnung betrifft alle OpenClaw-Versionen vor 2026.4.14. Wenn Sie noch kein Update durchgeführt haben, behandeln Sie Ihre Umgebung als potenziell kompromittiert.

    OpenClaw (ehemals Clawdbot, dann Moltbot, umbenannt im Januar 2026) ist ein Open-Source-KI-Agent-Framework, das es einem KI-Assistenten ermöglicht, im Namen eines Benutzers zu agieren – Dateien, Slack, Discord, Telegram, Online-Einkäufe – unter Verwendung seiner eigenen Zugriffsrechte und Berechtigungen. Es wurde im November 2025 gestartet und erreichte 347.000 GitHub-Sterne in weniger als sechs Monaten. Ebenfalls in fünf Monaten wurden 138 CVEs damit in Verbindung gebracht – darunter 7 kritische, 49 mit hoher Schwere. Wenn Sie oder Ihr Team OpenClaw verwenden, ist die von Experten empfohlene Haltung eindeutig: Gehen Sie davon aus, dass Sie kompromittiert sind.

    Wichtige Punkte

    • CVE-2026-25253 (CVSS 8.8): 1-Klick-RCE über WebSocket, 35,4 % der beobachteten Deployments anfällig für RCE
    • CVE-2026-22172 (CVSS 9.9) + CVE-2026-32922 (CVSS 9.9): Admin-Kontrolle ohne Credentials
    • 12 % der ClawHub-Skills im Februar 2026 bösartig (341 von 2.857) – 824+ aktiv am 3. April 2026 (Kampagne ClawHavoc)
    • +135.000 exponierte Instanzen in 82 Ländern, davon 63 % ohne Authentifizierung (SecurityScorecard STRIKE, Februar 2026)
    • Microsoft rät von jeglichem Deployment auf Rechnern mit sensiblen Daten ab (19.02.2026)
    • Empfohlene Mindestversion: 2026.4.14

    Was ist OpenClaw?

    OpenClaw (ehemals Clawdbot, dann Moltbot – drei aufeinanderfolgende Namen im Januar 2026) ist ein Open-Source-KI-Agent-Framework, das es einem KI-Assistenten ermöglicht, Aktionen im Namen eines menschlichen Benutzers zu automatisieren – Zugriff auf lokale und Netzwerkdateien, Slack- und Discord-Messaging, Telegram-Verwaltung, Online-Transaktionen, Ausführung von Aufgaben auf Drittanbieterdiensten – unter Verwendung derselben Rechte und Credentials wie der Benutzer.

    OpenClaw wurde im November 2025 gestartet und erreichte in weniger als sechs Monaten 347.000 GitHub-Sterne. Seine Popularität ist viral. Sein Sicherheitsmodell ist jedoch grundsätzlich fragil: Der Agent verfügt über dieselben Rechte wie der Benutzer und ist mit all seinen Diensten verbunden. Eine Schwachstelle kompromittiert nicht eine isolierte Komponente – sie kompromittiert alles, worauf der Agent Zugriff hatte.

    Chronologie der Vorfälle (November 2025 – April 2026)

    Datum Vorfall Schweregrad
    November 2025 Start von OpenClaw (ehemals Clawdbot, dann Moltbot, umbenannt in OpenClaw im Januar 2026), virale Akzeptanz – 347.000 ⭐ GitHub
    29. Jan. – 3. Feb. 2026 CVE-2026-25253 (CVSS 8.8): 1-Klick-RCE über lokales WebSocket. Patch v2026.1.29 veröffentlicht am 29. Januar 2026; öffentliche Bekanntmachung am 3. Februar 2026. 35,4 % der beobachteten Deployments anfällig für RCE. 🔴 Kritisch
    Februar 2026 Kampagne ClawHavoc (Koi Security): 341 bösartige Skills von 2.857 geprüften (12 %) – Keylogger und Credential Stealer 🔴 Kritisch
    19. Februar 2026 Microsoft Security Blog: offizieller Leitfaden, der von einem Deployment auf Rechnern mit sensiblen Daten abrät 🟠 Warnung
    März 2026 CVE-2026-22172 (CVSS 9.9): Selbstdeklaration von Admin-Scopes über WebSocket – alle Versionen vor 2026.3.12 🔴 Kritisch
    19. März 2026 CVE-2026-32038: Umgehung der Docker-Netzwerkisolation über network=container:. Behoben in OpenClaw 2026.2.24 🔴 Kritisch
    13.-29. März 2026 CVE-2026-32922 (CVSS 9.9): Eskalation über device.token.rotate. Patch v2026.3.11 veröffentlicht am 13. März; CVE-Veröffentlichung am 29. März. +135.000 exponierte Instanzen in 82 Ländern, 63 % ohne Auth (SecurityScorecard STRIKE, Februar 2026; übernommen von ARMO, März 2026) 🔴 Kritisch
    3. April 2026 Ars Technica: "Assume compromise" – 3 neue Schwachstellen mit hohem bis kritischem Schweregrad, darunter CVE-2026-33579 (CVSS bis zu 9.8). 824+ aktive bösartige Skills 🔴 Kritisch

    138 CVEs zwischen Februar und April 2026 getrackt – darunter 7 kritische und 49 mit hoher Schwere (GitHub-Tracker jgamblin/OpenClawCVEs; Analyse übernommen von Blink Security, April 2026)

    Die 5 wichtigsten entschlüsselten Schwachstellen

    CVE-2026-25253 – Remote Code Execution mit 1 Klick (CVSS 8.8)

    RCE (Remote Code Execution): Schwachstelle, die es einem entfernten Angreifer ermöglicht, beliebigen Code auf dem Zielrechner auszuführen, ohne physischen Zugriff oder Benutzerinteraktion über einen einfachen Besuch auf einer bösartigen Webseite hinaus.

    Die Schwachstelle nutzt das WebSocket-Gateway von OpenClaw (Standardport 18789, unzureichende ursprüngliche Validierung). Ein einfacher Besuch auf einer präparierten Seite reichte aus, um den Rechner zu kompromittieren. 35,4 % der beobachteten Deployments waren anfällig für RCE (SecurityScorecard STRIKE, Februar 2026). Der Patch v2026.1.29 wurde am 29. Januar 2026 veröffentlicht, 5 Tage vor der öffentlichen Bekanntmachung am 3. Februar 2026 (ProArch Security, März 2026).

    CVE-2026-22172 – Admin-Deklaration über WebSocket (CVSS 9.9)

    WebSocket-Clients konnten sich selbst mit Administrator-Scopes deklarieren und so die Authentifizierung vollständig umgehen. Betrifft alle Versionen vor 2026.3.12.

    CVE-2026-32038 – Umgehung der Docker-Netzwerkisolation (behoben in OpenClaw 2026.2.24)

    Über den Parameter network=container: griff ein Agent auf den Netzwerk-Namespace anderer Container zu – Datenbank, interne Dienste, private APIs. Erforderte einen vorherigen Zugriff durch einen vertrauenswürdigen Operator.

    CVE-2026-32922 – Eskalation über device.token.rotate (CVSS 9.9)

    135.000+ Instanzen im Internet in 82 Ländern exponiert – davon 63 % ohne jegliche Authentifizierung (SecurityScorecard STRIKE, Februar 2026; übernommen von ARMO Security, März 2026)

    Die Funktion device.token.rotate schränkte die Scopes der neu generierten Token nicht ein. Ein Angreifer mit der niedrigsten Berechtigungsstufe erhielt die vollständige Administrator-Kontrolle. Der Patch wurde in Version 2026.3.11 am 13. März 2026 veröffentlicht; die CVE wurde am 29. März 2026 auf cve.org veröffentlicht.

    CVE-2026-33579 – Eskalation über /pair approve (CVSS bis zu 9.8)

    Der Befehl /pair approve übertrug die Sicherheits-Scopes des Antragstellers nicht in die zentrale Autorisierungsprüfung. Gepatcht in Version 2026.3.28. Der offizielle CVSS-Score wurde zum Zeitpunkt dieses Artikels noch nicht von NVD veröffentlicht; der Score „bis zu 9.8“ wird von Ars Technica und Blink Security (April 2026) gemeldet.

    Die Supply Chain ClawHub: 824+ aktive bösartige Skills

    Credential Stealer: Bösartige Software, die stillschweigend Authentifizierungs-Credentials – OAuth-Token, API-Schlüssel, Umgebungsvariablen – an von Angreifern kontrollierte Server erfasst und exfiltriert, ohne dass der Benutzer etwas sichtbar unternimmt.

    Im Februar 2026 entdeckten Forscher von Koi Security die Kampagne ClawHavoc: Skills, die über den offiziellen ClawHub verteilt wurden, getarnt als Produktivitätstools (Gmail, Notion, Slack, GitHub), die bösartigen Code enthielten.

    Eckdaten (Koi Security, Februar 2026): 341 bösartige Skills identifiziert von 2.857 geprüften (12 %), davon 335, die derselben Kampagne ClawHavoc zugeschrieben wurden. Diese Zahl hat sich seitdem erhöht: 824+ aktive bösartige Skills, die am 3. April 2026 aufgeführt wurden (Blink Security, April 2026), darunter Keylogger und Credential Stealer, die auf OAuth-Token, API-Schlüssel und Umgebungsvariablen abzielen.

    Docker und VM: Unzureichender Schutz

    Angriffsvektor Docker allein Dedizierte VM Docker + 5 Flags
    CVE-2026-25253 (RCE WebSocket) ⚠️ Teilweise
    CVE-2026-32038 (Netzwerk-Namespace) ❌ vor OpenClaw 2026.2.24
    CVE-2026-22172 (Admin Scope Auto)
    CVE-2026-32922 (device.token.rotate)
    Bösartige Skills ClawHub ⚠️ Teilweise ⚠️ Teilweise
    Kernel-Exploit (gemeinsamer Kernel)
    Microsoft Security Blog (19.02.2026): „Die Runtime kann nicht vertrauenswürdigen Text aufnehmen, Skills von externen Quellen herunterladen und ausführen und Aktionen mit den ihr zugewiesenen Credentials ausführen – ohne entsprechende Kontrollen der Identität, der Eingabeverwaltung oder des Scoping der Privilegien. (…) Wenn eine Organisation feststellt, dass OpenClaw evaluiert werden muss, sollte es nur in einer vollständig isolierten Umgebung bereitgestellt werden – dedizierte VM, nicht privilegierte Credentials, eingeschränkter Zugriff auf nicht sensible Daten, kontinuierliche Überwachung und Wiederherstellungsplan.“
    Microsoft Security Blog, 19. Februar 2026

    Merke: Docker reduziert den Wirkungsbereich. Es garantiert keine Unverwundbarkeit. Ein Docker-Container teilt sich den Host-Kernel – eine Kernel-Schwachstelle kompromittiert alle Container auf dem Rechner. Docker umgeht die UFW-Regeln, indem es iptables direkt ändert – Ihre VM-Firewall schützt Ihre Container standardmäßig nicht.

    Was Sie jetzt tun müssen

    Obligatorische Updates

    • Update auf OpenClaw 2026.4.14 minimum (schließt CVE-2026-33579)
    • CVE-2026-32922 ist bereits seit OpenClaw 2026.3.11 (13. März 2026) behoben
    • OpenClaw ≥ 2026.2.24 schließt CVE-2026-32038

    5 obligatorische Docker-Härtungs-Flags

    docker run \
  --user nobody \
  --read-only \
  --cap-drop=ALL \
  --security-opt=no-new-privileges \
  # NIEMALS den Docker-Socket mounten (/var/run/docker.sock)

    Firewall und Netzwerk

    • Konfigurieren Sie UFW über die iptables-Ketten DOCKER-USER (die Standard-UFW-Regeln gelten nicht für Container)
    • Blockieren Sie den Port 18789 in der öffentlichen Exposition
    • Binden Sie das WebSocket-Gateway nur an 127.0.0.1 (niemals 0.0.0.0)

    Audit und Widerruf

    • Überprüfen Sie jeden Skill, der zwischen November 2025 und Ende Februar 2026 von ClawHub installiert wurde
    • Widerrufen und regenerieren Sie alle Token und API-Schlüssel, die mit OpenClaw verbunden sind
    • Behandeln Sie jede vergangene Sitzung als potenziell kompromittiert

    FAQ – Häufig gestellte Fragen zur OpenClaw-Sicherheit

    Reicht ein Update auf 2026.4.14 aus, um geschützt zu sein?

    Der Patch behebt die am 3. April 2026 bekannten Schwachstellen. Er behebt nicht, was möglicherweise in den Wochen der Exposition passiert ist. Wenn OpenClaw vor dem Patch in Produktion war, bleibt die empfohlene Vorgehensweise: Widerrufen Sie alle Token, setzen Sie alle Credentials zurück und behandeln Sie die Umgebung als potenziell kompromittiert.

    Schützt mich Docker vor OpenClaw-Schwachstellen?

    Nein, nicht vollständig. CVE-2026-25253 (RCE WebSocket) und CVE-2026-22172 (Admin Scope) werden nicht durch Docker allein gemindert. CVE-2026-32038 umging speziell die Docker-Netzwerkisolation. Die 5 Härtungs-Flags müssen zusätzlich zum Update auf 2026.4.14 angewendet werden.

    Wie viele OpenClaw-Instanzen sind im Internet exponiert?

    Laut Sicherheitsdaten vom Februar 2026 sind mehr als 135.000 Instanzen von OpenClaw im Internet in 82 Ländern exponiert. Davon funktionieren 63 % ohne jegliche Authentifizierung (SecurityScorecard STRIKE, Februar 2026; übernommen von ARMO Security, März 2026) – was bedeutet, dass jeder Netzwerkbesucher einen Pairing-Zugriff anfordern kann, ohne Credentials anzugeben.

    Was soll ich tun, wenn ich vor März 2026 Skills von ClawHub installiert habe?

    Überprüfen Sie jeden Skill, der zwischen November 2025 und Ende Februar 2026 installiert wurde. Skills, die als Produktivitätstools getarnt sind (Gmail, Notion, Slack, GitHub), sind besonders verdächtig. Im Zweifelsfall: Deinstallieren Sie den Skill, widerrufen Sie alle Credentials, auf die OpenClaw Zugriff hatte, und regenerieren Sie die zugehörigen API-Schlüssel.

    Kann OpenClaw sicher in Unternehmen eingesetzt werden?

    Microsoft Security Blog (19.02.2026): „Es ist nicht angemessen, es auf einem Standard-Privat- oder Firmenrechner auszuführen. Wenn eine Organisation feststellt, dass OpenClaw evaluiert werden muss, sollte es nur in einer vollständig isolierten Umgebung bereitgestellt werden – dedizierte VM, nicht privilegierte Credentials, nur Zugriff auf nicht sensible Daten, kontinuierliche Überwachung und Wiederherstellungsplan.“

    Ist das Problem spezifisch für OpenClaw oder strukturell für KI-Agenten?

    Das Problem ist strukturell. Ein KI-Agent, der mit den umfassenden Rechten des Benutzers operiert und mit mehreren Diensten verbunden ist, schafft eine außergewöhnliche Angriffsfläche. Eine Schwachstelle kompromittiert nicht eine isolierte Komponente – sie kompromittiert alles, worauf der Agent Zugriff hatte. OpenClaw ist ein Paradebeispiel, keine Ausnahme. Das aktuelle Modell „ein Agent, umfassender Zugriff auf alles“ ist grundsätzlich fragil.

    Welche Indikatoren für eine Kompromittierung sind zu überwachen?

    Ungewöhnliche Aktivitäten auf Ihren Slack-, Discord-, Telegram- oder GitHub-Konten; OAuth-Token, die ohne Ihr Zutun widerrufen oder regeneriert wurden; neue aktive Sitzungen auf Diensten, auf die OpenClaw Zugriff hatte; Dateien, die ohne identifizierbare Aktion erstellt, geändert oder gelöscht wurden; ausgehende Netzwerkanfragen an unbekannte Domänen vom Server, auf dem OpenClaw gehostet wird.

    Haben Sie Zweifel an Ihrer Sicherheitslage gegenüber KI-Agenten?
    Unsere Bexxo-Experten können Sie bei einem Audit oder einer Compliance-Prüfung unterstützen.
    → Kontaktieren Sie uns auf bexxo.ch

    Quellen

    Einen Artikel suchen

    Kategorien

    CVE Find
    Cybersicherheit
    Dienstleistungen
    KI-Agenten
    Services
    Sicherheitswarnungen

    Tags

    #CVE #CVEFind #ClawHub #Cybersicherheit #Docker #KI-Agenten #KMU #KMU-Sicherheit #Lieferkette #OpenClaw #Privilege Escalation #Schwachstelle #Schwachstellen #cvefind #statistiken #statistiques

    Meistgesehen

    ⚠️ OpenClaw: Warum Cybersicherheitsexperten empfehlen, von einer Kompromittierung auszugehen
    ⚠️ OpenClaw: Warum Cybersicherheitsexperten empfehlen, von einer Kompromittierung auszugehen 08 avr. 2026
    CVE-Statistiken - Juni 2025
    CVE-Statistiken - Juni 2025 02 juil. 2025
    CVE-Statistiken - Mai 2025
    CVE-Statistiken - Mai 2025 04 juin 2025
    Regelmäßige Updates: Die Cybersicherheitsstrategie Nr. 1 zur Beseitigung bekannter Schwachstellen
    Regelmäßige Updates: Die Cybersicherheitsstrategie Nr. 1 zur Beseitigung bekannter Schwachstellen 11 janv. 2025
    Warum die Überwachung von Sicherheitslücken für Ihr Unternehmen unerlässlich ist?
    Warum die Überwachung von Sicherheitslücken für Ihr Unternehmen unerlässlich ist? 04 févr. 2025
    Cybersicherheit: Warum sind KMUs besonders anfällig für Cyberangriffe?
    Cybersicherheit: Warum sind KMUs besonders anfällig für Cyberangriffe? 19 mars 2025
    CVE-Statistiken - April 2025
    CVE-Statistiken - April 2025 04 mai 2025
    CVE-Statistiken - Dezember 2024
    CVE-Statistiken - Dezember 2024 06 janv. 2025
    CVE-Statistiken - Februar 2025
    CVE-Statistiken - Februar 2025 03 mars 2025
    CVE-Statistiken - November 2024
    CVE-Statistiken - November 2024 02 déc. 2024
    Die auf CVE Find präsentierten Informationen stammen aus mehreren sorgfältig ausgewählten Referenzquellen. CVE-Daten werden von der MITRE Corporation und der National Vulnerability Database (NVD) bereitgestellt. Der Katalog bekannter ausgenutzter Schwachstellen (KEV) stammt von der Cybersecurity and Infrastructure Security Agency (CISA), während EPSS-Scores von FIRST.org kommen. Darüber hinaus werden Daten zu Software-Schwachstellen (CWE) und häufigen Angriffsmustern (CAPEC) von der MITRE Corporation gepflegt, und Informationen zu Hardware- und Software-Konfigurationen (CPE) werden von der NVD bereitgestellt.