Eine Woche, die alles veränderte
Zwischen dem 24. Februar und dem 2. März 2026 sah sich OpenClaw einer Kaskade von Sicherheitsvorfällen gegenüber, die die Widerstandsfähigkeit des Projekts, das Vertrauen seiner Community und seine Fähigkeit, unter Druck zu reagieren, auf die Probe stellten. Dieser Beitrag ist eine vollständige Aufarbeitung dessen, was passiert ist, wie das Team reagiert hat und was sich infolgedessen geändert hat.
Vorfall 1: Der Zero-Click WebSocket-Hijack (CVE-2026-25253)
Was passiert ist
Am 26. Februar legten Sicherheitsforscher eine kritische Zero-Interaction-Schwachstelle offen: Jede bösartige Website konnte stillschweigend die volle Kontrolle über den OpenClaw-Agenten eines Nutzers übernehmen, ohne dass eine Nutzeraktion erforderlich war — keine Klicks, keine Plugins, keine Erweiterungen.
Wie es funktionierte
- 1.Ein Nutzer besucht eine Webseite mit bösartigem JavaScript
- 2.Das Skript öffnet eine WebSocket-Verbindung zum OpenClaw-Gateway auf
localhost - 3.Das Skript versucht per Brute-Force das Gateway-Passwort mit hunderten Versuchen pro Sekunde
- 4.Der Rate-Limiter des Gateways hat localhost-Verbindungen vollständig ausgenommen — fehlgeschlagene Versuche wurden nicht gezählt, gedrosselt oder protokolliert
- 5.Nach erfolgreicher Authentifizierung registriert sich das Skript stillschweigend als vertrauenswürdiges Gerät
- 6.Der Angreifer erlangt volle Kontrolle: Nachrichten lesen, Befehle ausführen, auf Dateien zugreifen, API-Schlüssel exfiltrieren
Die Reaktion
Das OpenClaw-Sicherheitsteam stufte dies als hoher Schweregrad (CVSS 8.8) ein und lieferte innerhalb von 24 Stunden nach der Offenlegung einen Patch in Version 2026.2.25. Die Behebung umfasste:
- •Entfernung der localhost-Ausnahme vom Rate-Limiting
- •Hinzufügung einer WebSocket-Origin-Prüfung
- •Einführung einer Protokollierung von Verbindungsversuchen für alle Quellen
- •Erfordernis einer erneuten Authentifizierung bei der Registrierung neuer Geräte
Auswirkungen
Es gibt keine bestätigten Hinweise auf eine Ausnutzung vor der Offenlegung, aber das Schwachstellenfenster betrug etwa 6 Wochen (seit Einführung der localhost-Ausnahme in v2026.1.12).
Vorfall 2: Die ClawHub Supply-Chain-Krise
Was passiert ist
Parallel zur WebSocket-Schwachstelle veröffentlichten Sicherheitsforscher mehrerer Firmen Erkenntnisse, die zeigten, dass ungefähr 20 % aller auf ClawHub gelisteten Skills — 341 von rund 1.700 — bösartig waren oder verdächtiges Verhalten enthielten.
Was die bösartigen Skills taten
- •Datenexfiltration: Stillschweigendes Hochladen von Umgebungsvariablen, API-Schlüsseln und Gesprächsprotokollen an externe Server
- •Credential-Harvesting: Erfassen von Authentifizierungstoken für verbundene Dienste (Slack, Discord, Gmail)
- •Backdoor-Installation: Aufbau persistenter Reverse Shells auf dem Hostsystem
- •Prompt Injection: Manipulation des Agentenverhaltens, um den Zielen des Angreifers zu dienen, während es für den Nutzer normal erscheint
Die Reaktion
OpenClaw integrierte VirusTotal-Scanning in die ClawHub-Einreichungspipeline. Jeder neue Skill und jedes Skill-Update wird nun:
- 1.Von VirusTotals Multi-Engine-Analyse gescannt
- 2.Einer statischen Code-Analyse auf bekannte bösartige Muster unterzogen
- 3.Von einem menschlichen Moderator vor der Veröffentlichung überprüft (bei Skills, die erhöhte Berechtigungen anfordern)
- 4.Mit einem für Nutzer vor der Installation sichtbaren Vertrauens-Score versehen
Zusätzlich wurden alle 341 identifizierten bösartigen Skills entfernt, ihre Herausgeber gesperrt und betroffene Nutzer benachrichtigt.
Vorfall 3: Der Config-Datei-Infostealer
Was passiert ist
Eine separate Kampagne zielte über Social Engineering auf OpenClaw-Nutzer ab: Gefälschte „Optimierungsleitfäden“ und „Leistungstools“, die über GitHub, Reddit und chinesische Entwicklerforen verbreitet wurden, enthielten Infostealer, die speziell auf Folgendes abzielten:
- OpenClaw-Konfigurationsdateien (.clawrc