OpenClaw schließt kritische Rechteausweitung im /pair Genehmigungspfad
Sicherheitsupdate für die OpenClaw Tool-Calling-Schicht
OpenClaw hat Version 2026.3.28 veröffentlicht, um eine kritische Rechteausweitungslücke zu schließen, die vom Ant AI Security Lab entdeckt wurde. Dies betrifft Benutzer, die OpenClaw als Tool-Calling-Schicht für lokale LLMs einsetzen.
Details zur Sicherheitslücke
Die Schwachstelle lag im /pair approve-Befehlspfad. Konkret hat das System beim Aufruf der Gerätegenehmigung versäumt, die Berechtigungen des Aufrufers an die zentrale Genehmigungsprüfung weiterzuleiten. Dadurch konnte ein Benutzer mit Pairing-Berechtigungen (aber ohne Admin-Rechte) eine ausstehende Geräteanfrage genehmigen, die umfangreichere Berechtigungen, einschließlich Administratorzugriff, anforderte.
Versionsinformationen
- Betroffene Versionen: OpenClaw <= 2026.3.24
- Gepatchte Version: OpenClaw >= 2026.3.28
Sicherheitsauswirkungen
Diese Sicherheitslücke ist besonders relevant für alle, die lokale LLMs mit Tool-Zugriff über OpenClaw betreiben. Wenn ein Modell durch Prompt-Injection manipuliert wird und Befehle in Ihrem Namen ausgeben kann, ist dies genau der Pfad, der ausgenutzt werden könnte, um erhöhte Berechtigungen zu erlangen.
Die Advisory-Kennung ist GHSA-hc5h-pmr3-3497, und die vollständige Sicherheitsmitteilung ist auf GitHub verfügbar.
📖 Read the full source: r/openclaw
👀 Siehe auch
OpenClaws "Immer erlauben"-Funktion: Sicherheitslücken und sicherere Alternativen
OpenClaws 'Immer erlauben'-Genehmigungsfunktion war diesen Monat Gegenstand von zwei CVEs, die unautorisierte Befehlsausführung durch Wrapper-Befehlsbindung und Shell-Zeilenfortsetzungs-Umgehungen ermöglichten. Das tiefere Problem ist, wie die Funktion Benutzer dazu bringt, auf Sicherheitsaufforderungen nicht mehr zu achten.
Claude-Code-Quellkarten-Leck zeigt, dass minifizierter JavaScript-Code bereits öffentlich auf npm verfügbar war
Eine versehentlich in Version 2.1.88 des @anthropic-ai/claude-code npm-Pakets enthaltene Source-Map-Datei enthüllte interne Entwicklerkommentare, aber die eigentliche 13 MB große cli.js-Datei mit über 148.000 Klartextzeichenfolgen war seit dem Start öffentlich auf npm zugänglich.
Cisco-Quellcode durch Trivy-Lieferkettenangriff gestohlen
Ciscos interne Entwicklungsumgebung wurde mithilfe gestohlener Zugangsdaten aus dem Trivy-Lieferkettenangriff kompromittiert, was zum Diebstahl von Quellcode aus über 300 GitHub-Repositories führte, einschließlich KI-gestützter Produkte und Kundencode.
Lokaler Modell-Prompt-Injection-Scanner für KI-Fähigkeitensicherheit
Ein Proof-of-Concept-Tool scannt Drittanbieter-KI-Fähigkeiten auf versteckte Bash-Befehlsinjektionen unter Verwendung eines lokalen Nicht-Tool-Aufrufmodells wie mistral-small:latest auf Ollama und befasst sich mit Sicherheitslücken in der !-Operator-Funktion von Claude Code.