arrow_back Zurück zum Blog
security regulation china korea cve foundation

Regierungen schauen hin: Wie Länder auf OpenClaw-Sicherheitsrisiken reagieren

OpenClaws.io Team

OpenClaws.io Team

@openclaws

February 23, 2026

9 Min. Lesezeit

Regierungen schauen hin: Wie Länder auf OpenClaw-Sicherheitsrisiken reagieren

OpenClaws Wachstum war außergewöhnlich. Aber mit 180.000 GitHub-Sternen und Deployments in 82 Ländern kommt eine unbequeme Realität: Das Projekt ist zur Zielscheibe geworden. Und Regierungen haben begonnen, genau hinzuschauen.

Dieser Artikel behandelt die Sicherheitslage Stand Februar 2026 — die entdeckten Schwachstellen, die Reaktionen der Regierungen, die Unternehmensverbote und was die neue Stiftungsstruktur für die Sicherheits-Governance bedeuten könnte.

Die Schwachstelle, die alles veränderte

Anfang Februar 2026 wurde CVE-2026-25253 veröffentlicht — eine kritische Ein-Klick-Remote-Code-Execution-Schwachstelle mit einem CVSS-Score von 8.8 (Hoch).

Der Fehler lag in OpenClaws Control UI. Die Oberfläche vertraute automatisch jeder Gateway-URL, die als Query-Parameter übergeben wurde, und öffnete eine WebSocket-Verbindung, die das gespeicherte Authentifizierungstoken des Nutzers enthielt. Ein Angreifer konnte einen bösartigen Link erstellen, der beim Klick durch einen eingeloggten Nutzer:

  1. 1.Die Control UI zu einem vom Angreifer kontrollierten Gateway umleitete
  2. 2.Das Authentifizierungstoken über den WebSocket-Handshake exfiltrierte
  3. 3.Das gestohlene Token nutzte, um beliebige Befehle auf der OpenClaw-Instanz des Opfers auszuführen

Die Hürde zur Ausnutzung war niedrig. Keine speziellen Tools nötig — nur eine manipulierte URL per E-Mail, Chat oder Social Media. Der Patch kam mit v2026.1.29 am 30. Januar 2026. Es wurde keine bestätigte Ausnutzung in freier Wildbahn gemeldet, aber die Einfachheit des Angriffsvektors schlug Alarm.

Die Zahlen: 42.900 exponierte Instanzen

Das STRIKE-Team von SecurityScorecard führte einen globalen Scan durch und fand 42.900 OpenClaw-Instanzen, die in 82 Ländern öffentlich im Internet erreichbar waren. Davon waren 15.200 anfällig für Remote Code Execution — sie waren entweder nicht gepatcht oder liefen mit Standardkonfigurationen.

Um das einzuordnen: 15.200 Maschinen, die potenziell jeder im Internet mit einer einzigen HTTP-Anfrage hätte übernehmen können.

Separat demonstrierten Forscher von Giskard Datenlecks und Prompt-Injection-Schwachstellen in produktiven Instanzen. Sie zeigten, dass ein sorgfältig formulierter Prompt private API-Schlüssel, Umgebungsvariablen und andere Geheimnisse aus einem laufenden OpenClaw-Agenten extrahieren konnte. In ihren Tests wurden private Schlüssel in unter fünf Minuten extrahiert.

Am besorgniserregendsten: 93% der öffentlich exponierten Instanzen hatten kritische Schwachstellen zur Umgehung der Authentifizierung. Die Standardkonfiguration ist, wie sich herausstellte, nicht sicher genug für öffentliche Exposition — etwas, wovor die Dokumentation jetzt ausdrücklich warnt. ## Das Problem mit bösartigen Skills

Das Forschungsteam von Bitdefender analysierte ClawHub, OpenClaws öffentliches Skill-Register, und fand etwa 900 bösartige Skills von insgesamt rund 4.500 — etwa 20% aller veröffentlichten Pakete.

Diese bösartigen Skills reichten von als Utility-Tools getarnten Credential-Stealern bis hin zu Backdoors, die Angreifern dauerhaften Zugang zum Host-Rechner verschafften. Einige waren raffiniert genug, um eine oberflächliche Code-Review zu bestehen, mit verschleierten Payloads, die erst nach der Installation aktiviert wurden.

Dies spiegelt Probleme wider, die bei npm, PyPI und anderen Paketregistern aufgetreten sind, aber mit höherem Einsatz: OpenClaw-Skills laufen oft mit Systemberechtigungen und haben Zugriff auf Messaging-Konten, API-Schlüssel und persönliche Daten.

Chinas Reaktion: MIIT-Warnung

Chinas Ministerium für Industrie und Informationstechnologie (MIIT) gab eine Sicherheitsempfehlung speziell zu OpenClaw heraus und warnte Unternehmen, die Exposition ihrer Instanzen gegenüber öffentlichen Netzwerken zu überprüfen. Die Empfehlung blieb hinter einem vollständigen Verbot zurück, empfahl aber:

  • Alle OpenClaw-Deployments auf öffentliche Exposition zu auditieren
  • Netzwerksegmentierung zur Isolierung von OpenClaw-Instanzen zu implementieren
  • Installierte Skills auf bekannte bösartige Pakete zu überprüfen
  • Auf die neueste gepatchte Version zu aktualisieren

Bemerkenswert ist, dass China OpenClaw gleichzeitig auf Plattformebene angenommen hat — Alibaba Cloud, Tencent Cloud, Volcano Engine und Baidu haben alle OpenClaw-Hosting-Dienste gestartet. Die MIIT-Warnung signalisiert, dass die Regierung sowohl die Chance als auch das Risiko sieht.

Südkoreas Reaktion: Unternehmensverbote

Südkorea nahm eine aggressivere Haltung ein. Mehrere große Technologieunternehmen erließen interne Verbote:

  • Kakao kündigte Einschränkungen der OpenClaw-Nutzung auf Arbeitsgeräten zum Schutz von Informationswerten an
  • Naver erließ ein vollständiges internes Verbot von OpenClaw
  • Karrot (당근마켓) blockierte den Zugang zu OpenClaw vollständig

Die koreanische Reaktion wurde durch Bedenken hinsichtlich Datenexfiltration angetrieben — konkret das Risiko, dass ein KI-Agent mit Zugang zu Unternehmenssystemen sensible Informationen über seine Messaging-Integrationen nach außen tragen könnte. Wenn Ihr KI-Assistent Slack, E-Mail und Kalender lesen und dann Informationen über WhatsApp oder Telegram weiterleiten kann, vergrößert sich die Angriffsfläche für Wirtschaftsspionage dramatisch. ## Was der Stiftungsübergang für die Sicherheit bedeutet

Am 14. Februar 2026 gab OpenClaw-Gründer Peter Steinberger bekannt, dass er zu OpenAI wechselt und das Projekt in eine unabhängige 501(c)(3)-Stiftung mit OpenAI-Unterstützung übergeht.

Für die Sicherheit wirft dies sowohl Hoffnungen als auch Fragen auf:

Der optimistische Fall: Eine Stiftungsstruktur mit Unternehmensunterstützung könnte dedizierte Sicherheitsingenieure finanzieren, ein formales Security-Response-Team aufbauen, verpflichtende Skill-Review-Prozesse für ClawHub einführen und regelmäßige Sicherheitsaudits durchführen. Das sind Dinge, die ein einzelner Maintainer oder eine Freiwilligen-Community kaum aufrechterhalten können.

Der vorsichtige Fall: OpenAIs Beteiligung schafft einen potenziellen Interessenkonflikt. Werden Sicherheitsentscheidungen rein nach technischen Gesichtspunkten getroffen, oder werden kommerzielle Erwägungen beeinflussen, was wann offengelegt wird? Die Unabhängigkeit der Stiftung wird beim ersten Mal auf die Probe gestellt, wenn eine schwerwiegende Schwachstelle OpenAIs eigene Interessen berührt.

  • Ein finanziertes Vollzeit-Sicherheitsteam mit öffentlichen Offenlegungsrichtlinien
  • Verpflichtende Code-Signierung und Review für ClawHub-Skills
  • Automatisiertes Schwachstellen-Scanning in der CI/CD-Pipeline
  • Ein Bug-Bounty-Programm mit substanziellen Auszahlungen
  • Regelmäßige Sicherheitsaudits durch Dritte mit veröffentlichten Ergebnissen

Was Nutzer jetzt tun sollten

Wenn Sie OpenClaw betreiben, sind die sofortigen Schritte klar:

  1. 1.**Aktualisieren**: Stellen Sie sicher, dass Sie v2026.2.21 oder neuer verwenden
  2. 2.**Nicht öffentlich exponieren**: Nutzen Sie ein VPN oder einen SSH-Tunnel für den Fernzugriff
  3. 3.**Skills auditieren**: Überprüfen Sie jeden installierten Skill, besonders von unbekannten Autoren
  4. 4.**Authentifizierung aktivieren**: Betreiben Sie nichts mit Standard-Zugangsdaten
  5. 5.**Zugriffsprotokolle überwachen**: Achten Sie auf ungewöhnliche Verbindungsmuster
  6. 6.**Netzwerksegmentierung**: Isolieren Sie Ihre OpenClaw-Instanz von sensiblen Systemen

Das große Ganze

OpenClaws Sicherheitsherausforderungen sind nicht einzigartig — es sind die unvermeidlichen Wachstumsschmerzen jedes Open-Source-Projekts, das in drei Monaten vom Wochenendprojekt zur kritischen Infrastruktur wird. npm hatte bösartige Pakete. Docker Hub hatte Kryptominer. PyPI hatte Typosquatting-Angriffe.

Was hier anders ist, ist der Einsatz. OpenClaw-Agenten haben Zugriff auf Messaging-Konten, E-Mail, Kalender, Smart-Home-Geräte und potenziell Unternehmenssysteme. Eine kompromittierte OpenClaw-Instanz ist nicht nur ein gehackter Server — es ist ein kompromittiertes digitales Leben.

Der Stiftungsübergang ist die beste Chance des Projekts, die benötigte Sicherheitsinfrastruktur aufzubauen. Ob dieses Potenzial realisiert wird, hängt davon ab, wie ernst die neue Governance-Struktur Sicherheit als erstrangige Priorität nimmt — und nicht als nachträglichen Gedanken.

Wir werden diesen Bereich weiter beobachten und über Entwicklungen berichten, sobald sie eintreten.

arrow_back

Vorheriger

Jenseits von OpenAI: Wie chinesische LLMs OpenClaw-Agents antreiben

Nächster

Das Apple-Ökosystem: OpenClaw auf iOS, macOS und darüber hinaus

arrow_forward
Teilen auf: share code
star Star on GitHub

Auf dem Laufenden bleiben

Erhalte Updates zu neuen Funktionen und Integrationen. Kein Spam, jederzeit abbestellbar.