Zusammenfassung der Offenlegung
Am 6. Februar 2026 erhielt das OpenClaw-Sicherheitsteam einen Bericht im Rahmen des Responsible-Disclosure-Programms von einem unabhaengigen Sicherheitsforscher, der eine kritische Sicherheitsluecke in "DataBridge" identifizierte – einem der am haeufigsten installierten Skills auf dem ClawHub-Marktplatz. Die Sicherheitsluecke, nun als CVE-2026-1847 gefuehrt, ermoeglichte es einem speziell praeparierten Eingabe-Payload, die Sandbox-Schutzmassnahmen des Skills zu umgehen und unautorisierten Lesezugriff auf die Umgebungsvariablen des Host-Systems zu erlangen. Im schlimmsten Fall haette dies API-Schluessel, Datenbank-Zugangsdaten und andere sensible Konfigurationsdaten offenlegen koennen.
Innerhalb von 12 Stunden nach Erhalt des Berichts hatte das OpenClaw-Sicherheitsteam die Sicherheitsluecke bestaetigt, den Maintainer des Skills benachrichtigt und eine voruebergehende Empfehlung herausgegeben, dass alle DataBridge-Nutzer den Skill bis zur Veroeffentlichung eines Patches deaktivieren sollten. Ein Fix wurde innerhalb von 36 Stunden nach dem urspruenglichen Bericht auf ClawHub veroeffentlicht. Nach aktuellem Kenntnisstand gibt es keine Hinweise darauf, dass die Sicherheitsluecke vor der Offenlegung ausgenutzt wurde.
Technische Details
Die Sicherheitsluecke befand sich im Eingabe-Parsing-Modul von DataBridge, das fuer die Verarbeitung strukturierter Daten aus externen Quellen zustaendig war. Das Modul verwendete eine benutzerdefinierte Deserialisierungsroutine, die unter bestimmten Bedingungen Eingaben mit eingebetteten Shell-Metazeichen nicht ordnungsgemaess bereinigte. Wenn ein Agent einen boesartig praeparierten Daten-Payload verarbeitete, uebergab die Deserialisierungsroutine versehentlich unbereinigte Zeichenketten an einen Subprocess-Aufruf, was eine begrenzte Form der Command Injection ermoeglichte.
Der Sandbox-Ausbruch war moeglich, weil DataBridge waehrend des ClawHub-Ueberpruefungsprozesses erhoehte Berechtigungen erhalten hatte. Ein nachfolgendes Update des Skills fuehrte den verwundbaren Deserialisierungscode ein, und der inkrementelle Ueberpruefungsprozess erkannte die Regression nicht.
Es ist wichtig zu beachten, dass die Sicherheitsluecke durch mehrere Faktoren eingeschraenkt war. Erstens musste der Angreifer die externe Datenquelle kontrollieren oder manipulieren. Zweitens war die Command Injection auf Leseoperationen beschraenkt. Drittens begrenzt OpenClaws Standard-Sicherheitskonfiguration die fuer Skills sichtbaren Umgebungsvariablen.
Zeitlicher Ablauf
Der folgende Zeitstrahl dokumentiert die wichtigsten Ereignisse von der Entdeckung bis zur Loesung:
- •6. Februar, 08:14 UTC: Sicherheitsforscher reicht Schwachstellenbericht ueber OpenClaws Responsible-Disclosure-Programm ein.
- •6. Februar, 09:30 UTC: OpenClaw-Sicherheitsteam bestaetigt den Eingang und beginnt mit der Triage.
- •6. Februar, 14:22 UTC: Sicherheitsluecke bestaetigt und als Kritisch (CVSS 8.6) eingestuft.
- •6. Februar, 15:00 UTC: DataBridge-Maintainer ueber sicheren Kanal benachrichtigt.
- •6. Februar, 16:45 UTC: Voruebergehende Empfehlung veroeffentlicht; ClawHub versieht DataBridge mit Sicherheitswarnung.
- •6. Februar, 20:30 UTC: DataBridge-Maintainer reicht ersten Patch zur Ueberpruefung ein.
- •7. Februar, 03:15 UTC: Sicherheitsteam identifiziert zusaetzlichen Grenzfall im ersten Patch; fordert Ueberarbeitung an.
- •7. Februar, 14:00 UTC: Ueberarbeiteter Patch eingereicht und nach umfassenden Tests genehmigt.
- •7. Februar, 20:00 UTC: Gepatchte Version (DataBridge v2.4.1) auf ClawHub veroeffentlicht.
- •7. Februar, 20:15 UTC: Automatische Benachrichtigungen an alle DataBridge-Nutzer mit Empfehlung zur sofortigen Aktualisierung.
- •8. Februar, 10:00 UTC: Oeffentlicher Sicherheitshinweis mit vollstaendigen technischen Details veroeffentlicht.
Community-Reaktion
Die Reaktion der Community auf diesen Vorfall war vorbildlich. Innerhalb weniger Stunden nach der ersten Empfehlung meldeten sich mehrere erfahrene Community-Mitglieder freiwillig, um andere Skills mit hohen Berechtigungen auf ClawHub auf aehnliche Sicherheitsluecken zu ueberpruefen. Diese Ad-hoc-Sicherheitsueberprufung, an der schliesslich ueber 40 Mitwirkende beteiligt waren, untersuchte die 100 meistinstallierten Skills und identifizierte drei weitere Faelle potenziell unsicherer Deserialisierungsmuster.
Gewonnene Erkenntnisse und Richtlinienaenderungen
Dieser Vorfall hat mehrere konkrete Aenderungen an ClawHubs Sicherheitsprozessen ausgeloest.
Erstens staerken wir den inkrementellen Ueberpruefungsprozess fuer Skill-Updates. Kuenftig wird jedes Update, das Code in sicherheitsrelevanten Bereichen aendert, eine vollstaendige Sicherheitsueberprufung ausloesen.
Zweitens fuehren wir automatisiertes statisches Analyse-Scanning fuer alle Skill-Einreichungen und -Updates ein.
Drittens implementieren wir ein granulareres Berechtigungsmodell fuer Skills. Statt breiter Zugriffskategorien muessen Skills spezifische, eng gefasste Berechtigungen anfordern.
Viertens erweitern wir unser Responsible-Disclosure-Programm um ein formelles Bug-Bounty-Programm.
Empfehlungen fuer Betreiber
Angesichts dieses Vorfalls empfehlen wir allen OpenClaw-Betreibern, die folgenden Schritte zur Staerkung ihrer Sicherheitslage zu unternehmen: Ueberpruefen Sie die Berechtigungen installierter ClawHub-Skills und widerrufen Sie alle, die nicht unbedingt erforderlich sind. Stellen Sie sicher, dass sensible Zugangsdaten in einem dedizierten Secrets Manager gespeichert werden. Aktivieren Sie ClawHubs automatische Update-Funktion. Und ueberwachen Sie den OpenClaw-Sicherheitshinweis-Feed fuer zukuenftige Benachrichtigungen.
Das OpenClaws.io-Team nimmt die Sicherheit des Oekosystems ernst. Keine Software ist immun gegen Sicherheitsluecken, aber wir sind entschlossen, schnell, transparent und entschieden zu reagieren, wenn Probleme auftreten.