Kritische OpenClaw-Sicherheitslücken am 28.03.2026 gepatcht.

Kritische Sicherheitsprobleme in OpenClaw Core

Das Ant AI Security Lab identifizierte 33 Schwachstellen im OpenClaw-Framework, wovon 8 kritische Probleme im Release 2026.3.28 behoben wurden. Diese Schwachstellen offenbaren grundlegende Probleme mit Vertrauensgrenzen bei der Bereitstellung von Agents.

Spezifische Schwachstellen und ihre Auswirkungen

Sandbox-Isolationsumgehung

In Versionen ≤2026.3.24 akzeptiert das message-Tool die Aliase mediaUrl und fileUrl, die die Sandbox-Validierung umgehen. Dadurch können auf eine Sandbox beschränkte Agents über diese Alias-Parameter beliebige lokale Dateien lesen, was die Isolierung unwirksam macht.

Rechteausweitung über Gerätepaarung

Der Befehlspfad /pair approve rief die Gerätefreigabe auf, ohne die Aufrufer-Berechtigungen in die Kernprüfung zu übernehmen. Das bedeutet, dass Benutzer mit grundlegenden Paarungsrechten ausstehende Geräteanfragen mit erweiterten Berechtigungen – einschließlich voller Admin-Zugriffe – genehmigen konnten, wodurch sie sich effektiv Rechte verschafften, die sie nicht besitzen.

Unwirksame Token-Widerrufung

Wenn Token für vermutlich kompromittierte Geräte widerrufen werden, aktualisiert das Gateway nur gespeicherte Zugangsdaten, ohne bereits authentifizierte WebSocket-Sitzungen zu trennen. Widerrufene Geräte können weiterhin laufende Sitzungen nutzen, bis die Verbindungen natürlich abbrechen.

SSRF-Schwachstelle im Bildanbieter

Bei Verwendung des fal-Anbieters für die Bildgenerierung werden sowohl API-Datenverkehr als auch Bilddownloads über ungeschützte Abrufe durchgeführt, wobei der SSRF-geschützte Abrufpfad umgangen wird. Dies ermöglicht es bösartigen Relays, das Gateway zum Abruf interner URLs zu zwingen und interne Dienstantworten über die Bildpipeline preiszugeben.

Allowlist-Degradation

Routenspezifische Gruppen-Allowlists für Plattformen wie Google Chat oder Zalo wurden stillschweigend von allowlist auf open herabgestuft, anstatt Gruppenrichtlinien beizubehalten. Dadurch kann jedes Mitglied des allowlisteten Bereichs mit dem Bot interagieren, wobei senderbezogene Einschränkungen ignoriert werden.

Unmittelbar erforderliche Maßnahmen

• Überprüfen Sie Ihre OpenClaw-Version. Falls sie ≤2026.3.24 ist, aktualisieren Sie sofort auf 2026.3.28.
• Überprüfen Sie Paarungsprotokolle auf unerwartete Admin-Genehmigungen.
• Wenn Sie kürzlich einen Token widerrufen haben, starten Sie Ihr Gateway zwangsweise neu, um verbleibende WebSocket-Sitzungen zu beenden.

Die Prüfung des Ant AI Security Lab zeigt, dass während viel Aufmerksamkeit auf LLM-Sicherheitsrisiken wie Prompt Injection gerichtet ist, die eigenen Parameter-Validierungen und Vertrauensgrenzen des Frameworks kritische Schwachstellen darstellen. Alle 8 Empfehlungen aus der Prüfung sind öffentlich im OpenClaw GitHub Security Tab verfügbar.