OpenClaw, der seit November 2025 viral gegangene Open-Source-AI-Agent mit mittlerweile 347.000 GitHub-Stars, steht vor einer grundlegenden Vertrauenskrise. Eine kuerzlich behobene kritische Schwachstelle und ein massiver Supply-Chain-Angriff auf den Skills-Marketplace zeigen exemplarisch, warum AI-Agenten ein Sicherheitsproblem ersten Ranges sind.

Die Schwachstelle: ClawJacked (CVE-2026-25253)

Sicherheitsforscher von Oasis entdeckten, dass OpenClaws lokaler Gateway implizit jeder Verbindung von localhost vertraute -- ohne zu beruecksichtigen, dass auch Websites WebSocket-Verbindungen von der lokalen Adresse oeffnen koennen.

Der Angriff funktionierte so: 1. Ein Entwickler besucht eine kompromittierte Website 2. JavaScript auf der Seite oeffnet eine WebSocket-Verbindung zum lokalen OpenClaw-Gateway 3. Da keine Rate Limits oder Brute-Force-Schutz existierten, konnte das Gateway-Passwort per Brute Force geknackt werden 4. Nach Authentifizierung konnte der Angreifer beliebige Scripts als vertrauenswuerdig registrieren und das Geraet vollstaendig uebernehmen

CVSS-Score: 8.8 (hoch). OpenClaw veroeffentlichte drei Security Advisories, darunter die RCE-Schwachstelle und zwei Command-Injection-Luecken.

Supply-Chain-Angriff: 12% des Marketplaces kompromittiert

Parallel zur Schwachstelle deckten Forscher auf, dass 341 von 2.857 Skills auf ClawHub -- dem offiziellen Marketplace -- Malware waren. Das entspricht rund 12% des gesamten Katalogs. Die boeswilligen Skills tarnten sich mit professioneller Dokumentation und harmlosen Namen wie "solana-wallet-tracker", installierten aber Keylogger (Windows) oder Atomic Stealer (macOS).

Ausmass der Exposition

Censys verzeichnete zwischen dem 25. und 31. Januar 2026 einen Anstieg von rund 1.000 auf ueber 21.000 oeffentlich erreichbare OpenClaw-Instanzen. In Unternehmensumgebungen bedeutet das: Zugriff auf Slack-Nachrichten, E-Mails, Kalender, Cloud-Dokumente und OAuth-Tokens, die laterale Bewegung ermoeglichen.

Lehren fuer Agent-Security

Der Fall OpenClaw bestaetigt drei Thesen, die Sicherheitsforscher seit Monaten warnen:

1. Localhost ist keine Vertrauensgrenze. WebSocket-Verbindungen von Websites zu lokalen Diensten sind ein bekannter Angriffsvektor, der bei AI-Agenten besonders gefaehrlich wird.
2. Agent-Marketplaces brauchen Code-Review. Ein unmoderierter Marketplace fuer ausfuehrbaren Code ist ein offenes Tor fuer Supply-Chain-Angriffe.
3. Breite Berechtigungen potenzieren den Schaden. OpenClaw braucht by design Zugriff auf moeglichst viele Ressourcen. Das macht jeden Exploit zum Volltreffer.

Quellen

• Ars Technica: Here's why it's prudent for OpenClaw users to assume compromise
• SecurityWeek: OpenClaw Vulnerability Allowed Websites to Hijack AI Agents
• Oasis Security: ClawJacked: OpenClaw Vulnerability Enables Full Agent Takeover
• Cisco: Personal AI Agents like OpenClaw Are a Security Nightmare