OpenClaw-Sicherheitspatches beheben QR-Code-Anmeldedaten-Offenlegung und Plugin-Autoload-Schwachstellen

✍️ OpenClawRadar📅 Veröffentlicht: 13. März 2026🔗 Source
OpenClaw-Sicherheitspatches beheben QR-Code-Anmeldedaten-Offenlegung und Plugin-Autoload-Schwachstellen
Ad

Zwei kritische Sicherheitslücken in OpenClaw gepatcht

OpenClaw hat zwei Sicherheitspatches veröffentlicht, die schwerwiegende Schwachstellen in der Plattform beheben. Die Patches wurden in Version 2026.3.12 veröffentlicht und folgen auf ein weiteres Sicherheitsproblem (GHSA-5wcw-8jjv-m286), das am Vortag behoben wurde.

QR-Code-Pairing-Schwachstelle

Das QR-Code-Pairing-System, das zur Einrichtung neuer Geräte verwendet wird, hat dauerhafte Gateway-Zugangsdaten direkt im QR-Code ohne Ablaufdatum eingebettet. Das bedeutete, dass jeder, der einen Screenshot des QR-Codes gemacht hat, dauerhaften Zugriff auf alles erhalten würde, was der Agent tun konnte. Die Schwachstelle wurde in v2026.3.12 behoben, das jetzt temporäre Codes verwendet.

Wenn Sie jemals Ihren Einrichtungs-QR-Code irgendwo geteilt haben (Discord, Reddit, Twitter, Facebook usw.), sollten Sie Ihren Gateway-Token sofort neu generieren.

Ad

Plugin-Autoload-Schwachstelle

Die zweite Schwachstelle betraf Workspace-Plugins, die automatisch geladen und ausgeführt wurden, wenn ein Repository geklont wurde. Das System führte Plugins aus, ohne nach Benutzerbestätigung zu fragen oder zu prüfen, ob die Quelle vertrauenswürdig war. Dies wurde ebenfalls in v2026.3.12 behoben.

Expositionsstatistiken

Laut SecurityScorecard-Daten von letzter Woche sind über 40.000 OpenClaw-Instanzen im offenen Internet exponiert. Davon waren etwa 12.000 über Remote-Code-Ausführungsschwachstellen (RCE) ausnutzbar. Die tatsächliche Zahl ist jetzt wahrscheinlich höher.

Wenn Sie OpenClaw betreiben, sollten Sie sofort auf die neueste Version aktualisieren, um diese Sicherheitsprobleme zu beheben.

📖 Read the full source: r/openclaw

Ad

👀 Siehe auch

OpenClaw-Sicherheitsansatz unter Verwendung von LLM-Router und zrok Private Sharing
Sicherheit

OpenClaw-Sicherheitsansatz unter Verwendung von LLM-Router und zrok Private Sharing

Ein Entwickler teilt seinen Ansatz, OpenClaw und einen LLM-Router mit einem einzigen Befehl in einer VM+Kubernetes-Umgebung auszuführen, wobei Sicherheitsbedenken durch das Injizieren von API-Schlüsseln auf Router-Ebene und die Verwendung von zrok für privates Teilen anstelle traditioneller Messaging-App-Tokens adressiert werden.

OpenClawRadar
Forscher der Universität Toronto demonstrieren KI-Wurm, der durch kostenlose Open-Weight-Modelle betrieben werden kann
Sicherheit

Forscher der Universität Toronto demonstrieren KI-Wurm, der durch kostenlose Open-Weight-Modelle betrieben werden kann

Forscher der University of Toronto haben den ersten KI-gestützten Wurm demonstriert, der seine Verbreitungsstrategie mithilfe öffentlich zugänglicher Open-Weight-Modelle anpasst und jedes Online-Gerät angreifen kann.

OpenClawRadar
Sunder: Eine Rust-basierte lokale Datenschutz-Firewall für LLMs
Sicherheit

Sunder: Eine Rust-basierte lokale Datenschutz-Firewall für LLMs

Sunder ist eine Chrome-Erweiterung, die als lokale Datenschutz-Firewall für KI-Chats fungiert und mit Rust und WebAssembly erstellt wurde, um sicherzustellen, dass keine sensiblen Daten Ihren Browser verlassen.

OpenClawRadar
OpenClaw-Sicherheitslücken: Kritische Framework-Schwachstellen am 28.03.2026 gepatcht.
Sicherheit

OpenClaw-Sicherheitslücken: Kritische Framework-Schwachstellen am 28.03.2026 gepatcht.

Das Ant AI Security Lab identifizierte 33 Schwachstellen im Kernframework von OpenClaw, wobei 8 kritische Probleme im Release 2026.3.28 behoben wurden. Die Schwachstellen umfassen Sandbox-Umgehung, Rechteausweitung, Sitzungsfortbestand nach Token-Widerruf, SSRF-Risiken und Allowlist-Degradation.

OpenClawRadar