Eine einzige eingehende Chatnachricht genügte, um bei OpenClaw die Schutzmechanismen auszuhebeln und Angreifern die Kontrolle über den fremden Rechner zu verschaffen. Ein Update behebt die Schwachstellen.
Jeder KI-Assistent verspricht eine abgeschottete Arbeitsumgebung: Was der Agent ausführt, soll das darunterliegende System nicht gefährden. Beim Assistenten OpenClaw hielt dieser Schutz nicht. Der Sicherheitsforscher Chinmohan Nayak entdeckte einen Fehler in der Kontrollfunktion, die den Zugriff auf sensible Verzeichnisse verhindern soll. Sie prüft lediglich, ob ein angefragter Pfad innerhalb eines gesperrten Ordners liegt, nicht aber den umgekehrten Fall. Ein Angreifer muss daher nicht den gesperrten Ordner selbst ansteuern, sondern nur ein übergeordnetes Verzeichnis, um die Sperre zu umgehen. Bindet er etwa das Heimatverzeichnis ein, kann er die Zugangsdaten sämtlicher Konten auslesen. Über den Systemordner /var erhält er sogar Zugriff auf die zentrale Steuerung der Container-Umgebung, womit die Isolierung vollständig aufgehoben ist.
Seine Wucht entfaltet dieser Fehler im Zusammenspiel mit zwei weiteren Schwachstellen, über die sich dem Betriebssystem fremde Befehle einschleusen lassen. Zusammen ergeben die drei Mängel eine Angriffskette, die weder technisches Vorwissen noch einen bestehenden Zugang voraussetzt. Es reicht, dem Opfer eine manipulierte Nachricht über WhatsApp zu senden. Frühere Lücken, die im Frühjahr geschlossen wurden, verlangten noch, dass der Angreifer bereits Zugriff auf das System hatte; diese Voraussetzung entfällt nun. Am Ende der Kette kann er Daten entwenden, sich dauerhaft und unbemerkt Zugang sichern oder beliebige Programme auf dem übernommenen Gerät ausführen.
Wie stark ein System tatsächlich gefährdet ist, hängt nach Angaben der Entwickler vor allem von seiner Konfiguration ab. An erster Stelle steht der Wechsel auf die bereinigte Version 2026.6.6. Für zusätzlichen Schutz empfiehlt es sich, die direkte Befehlsausführung bei allen öffentlich erreichbaren Agenten zu deaktivieren, jede Nebensitzung im isolierten Modus zu betreiben und Downloads zu überwachen, die externe Hilfsprotokolle nutzen. Lässt sich das Update nicht sofort einspielen, sollten die betroffenen Funktionen vorübergehend abgeschaltet oder auf vertrauenswürdige Administratoren beschränkt werden. Ein gemeinsamer Netzzugang für Nutzer, die einander nicht vertrauen, ist in dieser Situation ohnehin zu vermeiden.




