Der Gamechanger in Sachen KI-Sicherheit
Die Cybersecurity-Community steht aktuell vor einer völlig neuen Herausforderung: Ein unscheinbarer Besuch auf einer manipulierten Website kann dazu führen, dass Angreifer die totale Kontrolle über deine autonomen KI-Agenten-Systeme übernehmen – und das ohne jeden klassischen Exploit. Im Mittelpunkt steht eine Schwachstelle im OpenClaw-System, die belegt, wie sehr moderne Cyberangriffe nicht mehr nur Technik, sondern vor allem das Vertrauensprinzip deiner lokalen Systeme ins Visier nehmen. Das Risiko? Brandgefährlich, denn dabei wird nicht die Firewall geknackt – sondern dein Vertrauen in eine sichere Entwicklungsumgebung nachhaltig erschüttert.
Unsichtbare Angriffe: Ein Blick unter die Motorhaube
Die sogenannte ClawJacked-Schwachstelle (CVE-2026-25253) hebt das Risiko auf ein ganz neues Level: Angreifer brauchen keine Malware, kein Zero-Day, nicht einmal den guten alten Trojaner. Es reicht, dass du mit laufendem OpenClaw-Client eine bösartige Website besuchst, etwa durch einen Link in einer E-Mail oder Chat-App wie Slack – und der Angreifer ist drin (The Hacker News, SC Magazine).
Browser-Architektur erlaubt es JavaScript-basierter Malware, WebSocket-Verbindungen zu localhost herzustellen. Eigentlich dient das Feature praktischen Zwecken – hier öffnet es Hackern jedoch Tür und Tor.
Die vier Schritte einer modernen Attacke
Der Ablauf ist fast schon erschreckend simpel:
- Das skrupellose Skript auf der kompromittierten Website stellt eine WebSocket-Verbindung zu deinem OpenClaw-Gateway her.
- Fehlende Rate-Limits lassen den Angreifer in Ruhe alle Passwort-Kombinationen durchprobieren.
- Nach erfolgreicher Authentifizierung registriert sich das angreifende Script als ‚vertrauenswürdiges‘ Gerät – ganz ohne Rückfrage an dich.
- Ergebnis: Der Angreifer bekommt komplette Admin-Rechte, kann Befehle ausführen, Daten exfiltrieren und Konfigurationen manipulieren (Quelle).
Klassische Abwehrmechanismen? Null Chance in diesem Szenario.
Skalierungsfaktor Ignoranz – Wie schnell sich das Problem vergrößert
Der eigentliche Sprengstoff dieser Story ist ihr exponentielles Eskalationspotenzial. Innerhalb von nur zwei Wochen wuchs die Zahl öffentlich erreichbarer OpenClaw-Instanzen von etwa 1.000 auf über 21.000 weltweit (Acronis). Viele devs bauen OpenClaw in ihre Workflows ein, ohne zu realisieren, wie krass sie dabei ihre Assets der Außenwelt preisgeben. Die Sicherheitspraxis bleibt auf der Strecke – mit fatalen Folgen.
Das Ausmaß des Datenlecks: Ein Eldorado für Cyberkriminelle
Security-Forscher wie Jamieson O’Reilly dokumentierten eine komplette Übernahme ganzer Systeme: Exponierte Instanzen lieferten API-Schlüssel etwa für Anthropic, Telegram-Bot-Token, Slack-Konten und vollständige Chat-Verläufe – alles ganz ohne Authentifizierung (DigitalOcean). Besonders bitter: Viele sensible Daten, darunter Passwörter und Schlüssel, lagern OpenClaw-Nutzer offen im Klartext (Kaspersky). Kein Wunder, dass Infostealer wie RedLine oder Lumma längst auf diese Schwachstelle abfahren.
Systemisches Risiko: Das große Bild hinter der ClawJacked-Lücke
OpenClaw ist kein Einzelfall. Innerhalb weniger Wochen tauchten mehrere kritische Schwachstellen auf: Von Log-Poisoning (Angreifer schreiben Schadcode in Protokolldateien, was indirekte KI-Übernahmen ermöglicht) bis hin zu kompromittierten Erweiterungen auf dem ClawHub-Marktplatz (ESecurityPlanet). In einer Stichprobe waren von 2.857 überprüften OpenClaw-Skills ganze 341 bösartig – darunter echte Malware-Lieferketten (Swiss Cyber Institute).
Shadow AI: So entsteht das neue Unternehmensrisiko
Was viele unterschätzen: Shadow IT wird jetzt zu Shadow AI. Überall im Unternehmen laufen autonome Agenten auf Geräten mit kritischen Schnittstellen, von Slack bis SharePoint – aber ohne zentrales Monitoring, ohne Richtlinien, ohne Sichtbarkeit (Lasso Security). Kompromittierte Agenten werden so zu unsichtbaren Einfallstoren ins Unternehmensnetz.
Sofort handeln! Praktische Empfehlungen für Entwickler & Unternehmen
Okay, jetzt wird’s konkret. Was kannst du – und sollte dein Unternehmen – sofort tun?
- Check, ob irgendwo OpenClaw läuft: Findest du den Task im Task-Manager? Hört irgendwas am Port 18789 oder 18793? Liegt die Config im
~/.openclaw/-Verzeichnis? - Falls ja: Unbedingt mindestens auf Version 2026.1.29 updaten (diese fixt die WebSocket-Lücke), für Log-Poisoning-Schutz ist Version 2026.2.13 Pflicht (DigitalOcean, ESecurityPlanet).
- Strikte Architektur: Keine KI-Agenten auf Maschinen, die du auch zum Surfen nutzt! Nutze dafür VMs oder dedizierte Cloud-Server, Reverse-Proxys mit Origin-Checks!
- CREDENTIAL HYGIENE: Lass keine API-Keys/Kennwörter offen im Klartext liegen. Nutze Environment-Vars oder sichere Vaults. Verteile minimal nötige Rechte auf Bot-Tokens und Co.
- Marketplace-Kontrolle: Keine Blindflüge! Prüfe jeden Skill-Code, bevor du neue Erweiterungen installierst (Kaspersky).
Alles Weitere auch unter Lasso Security und Reco.ai.
Fazit: KI-Sicherheit – jetzt ein Business-Imperativ!
Die ClawJacked-Story hat viral eingeschlagen, weil sie uns vor Augen führt, wie scharf der Spagat zwischen Innovationsdrang und Sicherheit gerade bei KI ausfällt. Über 21.000 verwundbare OpenClaw-Instanzen weltweit sind ein Statement: Viele von uns experimentieren mit autonomen KI-Lösungen, vernachlässigen dabei aber professionelle Absicherung (Conscia). Die Grundannahme, „auf meinem Rechner bin ich sicher“, ist definitiv Geschichte.
Schlusswort: Don’t click blind, sichere deine KI. Jetzt!
Diese Situation wird das Thema KI-Security radikal beschleunigen – und du solltest jetzt handeln. Think twice, bevor du einen harmlosen Link anklickst – vielleicht ist dieser eine Klick alles, was ein Angreifer für den kompletten Takeover braucht. Handle präventiv – nicht reaktiv.
