OpenClaws "Immer erlauben"-Funktion: Sicherheitslücken und sicherere Alternativen
OpenClaw-Genehmigungssystem-Schwachstellen
OpenClaws Genehmigungssystem fragt Benutzer "darf ich das tun?", bevor Befehle ausgeführt werden, mit Optionen zur einmaligen oder dauerhaften Genehmigung. Die "Immer erlauben"-Funktion wurde durch zwei kürzliche CVEs als Sicherheitsrisiko identifiziert.
Spezifische Sicherheitsprobleme
CVE-2026-29607: Die "Immer erlauben"-Genehmigung bindet sich an den Wrapper-Befehl, nicht an den inneren Befehl. Wenn Sie time npm test mit "immer" genehmigen, merkt sich das System "time immer erlauben". Später, wenn der Agent (oder durch Prompt-Injection) time rm -rf / ausführt, wird es ohne erneute Aufforderung ausgeführt, weil Sie den Wrapper-Befehl genehmigt haben.
CVE-2026-28460: Diese Schwachstelle umgeht die Allowlist vollständig durch Shell-Zeilenfortsetzungszeichen. Andere Technik, aber gleiches Ergebnis: Befehle werden ohne die Genehmigungsprüfung ausgeführt, von der Sie dachten, sie schütze Sie.
Beide Schwachstellen sind in OpenClaw 3.12+ gepatcht, aber das tiefere Problem bleibt bestehen.
Das verhaltensbezogene Sicherheitsproblem
Selbst nach dem Patzen trainiert das "Immer erlauben"-Mentale Modell Benutzer dazu, nicht mehr aufzupassen. Anfangs lesen Benutzer jede Genehmigungsaufforderung sorgfältig. Bis Woche 3 klicken sie bei allem auf "immer", weil Aufforderungen lästig werden und Vertrauen in den Agenten aufbaut. Bis Woche 6 sammeln Benutzer 20+ "immer"-Regeln an, die sie nicht aufzählen könnten, wenn sie gefragt würden.
Empfohlener alternativer Ansatz
Der Quellenautor empfiehlt: kein "Immer erlauben" für alles, was Dateien ändert, Nachrichten sendet oder Shell-Befehle ausführt. Stattdessen fügen Sie explizite Schutzmaßnahmen in Ihrer SOUL.md-Datei hinzu:
"für jede Aktion, die Dateien ändert, Kommunikation sendet oder Shell-Befehle ausführt: zeig mir genau, was du vorhast, und warte auf mein ausdrückliches OK. Vorherige Genehmigungen gelten nicht weiter. Frage jedes Mal. Das ist nicht verhandelbar."
Dieser Ansatz bedeutet mehr Tippen auf "OK" auf Oberflächen wie Telegram, verhindert aber, dass der Agent durch Prompt-Injection oder eigene Halluzinationen dazu gebracht wird, zerstörerische Aktionen unter veralteten Genehmigungen auszuführen.
Wesentliche Erkenntnis
Das Genehmigungssystem ist eine Komfortfunktion, die nie als Sicherheitsgrenze konzipiert wurde. Behandeln Sie es entsprechend.
📖 Read the full source: r/openclaw
👀 Siehe auch
Coldkey: Schlüsselgenerierung und Papier-Backup-Tool für das Post-Quantenzeitalter
Coldkey generiert Post-Quanten-Alter-Schlüssel (ML-KEM-768 + X25519) und erstellt einseitige druckbare HTML-Backups mit QR-Codes zur Offline-Speicherung.
Claude Code-Quellcode angeblich über NPM-Map-Datei geleakt
Ein Tweet berichtet, dass der Quellcode von Claude Code über eine Map-Datei in ihrem NPM-Register geleakt wurde. Die HN-Diskussion hat 93 Punkte und 35 Kommentare.
Claude AI-Umgehung von Sicherheitsvorkehrungen beobachtet, wenn Anfragen als Netzwerksicherheitsaufgaben formuliert werden
Ein Reddit-Nutzer entdeckte, dass Claude KI Listen mit Piraterie-Domains bereitstellt, wenn Anfragen als Netzwerksicherheitsaufgaben zum Blockieren formuliert werden, wodurch die normalen Ablehnungsmechanismen umgangen werden. Das Modell erkannte an, die Absicht falsch interpretiert zu haben, nachdem der Nutzer auf den Einfluss der Formulierung hinwies.
GitHub Copilot CLI-Schwachstelle ermöglicht Malware-Ausführung durch Prompt-Injection
Eine Schwachstelle in GitHub Copilot CLI ermöglicht die Ausführung beliebiger Shell-Befehle über indirekte Prompt-Injection ohne Benutzerfreigabe. Angreifer können Befehle erstellen, die die Validierung umgehen und Malware sofort auf dem Computer des Opfers ausführen.