OpenClaw-Sicherheitslücken: Kritische Framework-Schwachstellen am 28.03.2026 gepatcht.

Kritische Sicherheitslücken im OpenClaw-Framework

Das Ant AI Security Lab führte eine 3-tägige Prüfung des Kernframeworks von OpenClaw durch und reichte 33 Schwachstellenberichte ein. Acht dieser Schwachstellen wurden im Release 2026.3.28 behoben, was erhebliche architektonische Sicherheitsprobleme jenseits der häufig diskutierten Prompt-Injection- und bösartigen Skill-Risiken aufdeckt.

Spezifisch identifizierte Schwachstellen

• Sandbox-Umgehung über Tool-Parameter: In Versionen <= 2026.3.24 akzeptiert das message-Tool die Aliase mediaUrl und fileUrl, die die Sandbox-Validierung umgehen. Dies ermöglicht es Agenten, die auf eine Sandbox beschränkt sind, über diese Alias-Parameter beliebige lokale Dateien zu lesen, wodurch die Isolation effektiv aufgehoben wird.
• Rechteausweitung über Gerätepaarung: Der Befehlspfad /pair approve rief die Gerätefreigabe auf, ohne die Aufrufer-Berechtigungen in die Kernprüfung weiterzuleiten. Benutzer mit grundlegenden Paarungsrechten konnten ausstehende Geräteanfragen genehmigen, die umfassendere Berechtigungen, einschließlich voller Admin-Zugriffe, anforderten, und sich so selbst Rechte verschaffen, die sie nicht besitzen.
• Sitzungsfortbestand nach Token-Widerruf: Wenn Tokens widerrufen werden, aktualisiert das Gateway nur die gespeicherten Zugangsdaten, ohne bereits authentifizierte WebSocket-Sitzungen zu trennen. Widerrufene Geräte können ihre aktiven Sitzungen weiterhin nutzen, bis die Verbindungen auf natürliche Weise abbrechen.
• SSRF-Schwachstelle im Bildanbieter: Der fal-Anbieter für Bildgenerierung verwendet ungeschützte Fetch-Aufrufe sowohl für API-Datenverkehr als auch für Bilddownloads und umgeht damit SSRF-geschützte Fetch-Pfade. Bösartige Relays könnten das Gateway zwingen, interne URLs abzurufen und interne Dienstantworten über die Bildpipeline preiszugeben.
• Allowlist-Degradation: Routenebene Gruppen-Allowlists (z.B. für Google Chat oder Zalo) wurden stillschweigend von allowlist auf open herabgestuft, anstatt Gruppenrichtlinien beizubehalten. Jedes Mitglied des allowlisteten Bereichs konnte mit dem Bot interagieren und ignorierte dabei Sender-Einschränkungen.

Erforderliche Sofortmaßnahmen

• Überprüfen Sie Ihre OpenClaw-Version. Falls sie < 2026.3.28 ist, aktualisieren Sie umgehend.
• Prüfen Sie Paarungsprotokolle auf unerwartete Admin-Gewährungen.
• Wenn Sie kürzlich einen Token widerrufen haben, starten Sie Ihr Gateway zwangsweise neu, um verbleibende WebSocket-Sitzungen zu beenden.

Die Prüfung des Ant AI Security Lab zeigt, dass während viel Aufmerksamkeit auf das LLM-Verhalten gerichtet ist, die Vertrauensgrenzen und Parameter-Validierung des zugrundeliegenden Frameworks gleichermaßen kritisch für die Sicherheit sind. Alle 8 Empfehlungen aus der Prüfung sind öffentlich im OpenClaw GitHub Security-Tab verfügbar.