OpenClaw-Sicherheitsverletzung: CEO-Agent für 25.000 $ verkauft, 135.000 Instanzen offengelegt

Kritische OpenClaw-Sicherheitslücken

Eine OpenClaw-Instanz eines britischen CEOs wurde am 22. Februar unter dem Pseudonym "fluffyduck" auf BreachForums gelistet und für 25.000 US-Dollar in Monero oder Litecoin verkauft. Der Käufer erhielt Zugriff auf den vollständig trainierten persönlichen KI-Assistenten des CEOs, einschließlich aller Gespräche, der Produktionsdatenbank des Unternehmens, Telegram-Tokens, Trading 212 API-Schlüssel und persönlicher Familiendetails, die dem Assistenten mitgeteilt wurden. Alle Daten wurden in Klartext-Markdown-Dateien unter ~/.openclaw/workspace/ ohne jegliche Verschlüsselung gespeichert.

Cato Networks VP of Threat Intelligence Etay Maor sagte auf der RSAC 2026: "Deine KI? Jetzt ist es meine KI." SecurityScorecard hat 135.000 OpenClaw-Instanzen mit unsicheren Standardeinstellungen im öffentlichen Internet identifiziert.

5-Minuten-Sicherheitscheck

Check 1: Gateway-Exposition (30 Sekunden)

Ausführen: openclaw config get | grep -E "host|bind"

Wenn Sie 0.0.0.0 oder gar nichts sehen, ist Ihr Agent für jeden erreichbar, der Ihre IP und Ihren Port findet. CVE-2026-25253 (CVSS 8.8) ermöglichte JavaScript auf von Angreifern kontrollierten Webseiten, stille WebSocket-Verbindungen zu lokalen OpenClaw-Gateways zu öffnen, Authentifizierungstokens zu stehlen und volle Kontrolle zu gewähren. In Version 2026.1.29 gepatcht.

Fix:

{ "gateway": { "host": "127.0.0.1" } }

Greifen Sie nur über SSH-Tunnel remote zu: ssh -L 18789:localhost:18789 user@your-vps

Check 2: Authentifizierungsstatus (30 Sekunden)

Ausführen: openclaw config get | grep -E "auth|token"

Der Forscher fmdz387 fand Ende Januar fast tausend öffentlich zugängliche OpenClaw-Instanzen ohne Authentifizierung. Er konnte auf API-Schlüssel, Telegram-Tokens, Slack-Konten, vollständige Chatverläufe zugreifen und Admin-Befehle ausführen.

Fix: Generieren Sie ein Token mit openssl rand -hex 24 und legen Sie es unter gateway.auth.token ab. Speichern Sie es in .env, nicht hartcodiert in JSON.

Check 3: Klartext-API-Schlüssel (30 Sekunden)

Ausführen: cat ~/.openclaw/openclaw.json | grep -i "key\|token\|secret"

OpenClaw speichert alles in Klartext-Markdown und JSON. Wenn Ihr Anthropic-Schlüssel, OpenAI-Schlüssel oder andere Zugangsdaten sichtbar sind, sind sie nur einen Schritt von einer Kompromittierung entfernt.

Fix: Verschieben Sie Zugangsdaten in .env und sperren Sie Berechtigungen: chmod 700 ~/.openclaw/credentials chmod 600 ~/.openclaw/openclaw.json

Rotieren Sie Ihre API-Schlüssel heute, wenn sie jemals exponiert waren.

Check 4: Installierte Skills (60 Sekunden)

Ausführen: openclaw skills list

820+ bösartige Skills wurden auf ClawHub bestätigt. Die ClawHavoc-Kampagne platzierte hunderte professionell aussehende Skills, die .env-Dateien still an externe Server exfiltrierten. Auf dem Höhepunkt war etwa jeder 12. Skill auf ClawHub kompromittiert.

Für jeden Skill, dessen Quellcode Sie nicht persönlich geprüft haben: Lesen Sie ihn jetzt oder entfernen Sie ihn mit openclaw skills uninstall <skill-name>

Installationen einschränken:

{ "skills": { "allowSources": ["clawhub:verified"] } }

Check 5: Versionsstatus (30 Sekunden)

Ausführen: openclaw --version

OpenClaw hat keinen automatischen Update-Mechanismus. Bis Mitte März wurden 255+ Sicherheitshinweise auf der GitHub-GHSA-Seite veröffentlicht.

Update: npm install -g openclaw@latest openclaw doctor --deep

Lesen Sie die Ausgabe sorgfältig.