Der populäre Open-Source AI-Assistent OpenClaw (ehemals Moltbot/ClawdBot), der bereits von über 100.000 Entwicklern für umfassende System- und Nachrichtenzugriffe genutzt wird, war durch eine verkettete Schwachstelle angreifbar. Sicherheitsforscher von depthfirst entdeckten eine Logiklücke, die zu 1-Click Remote Code Execution führte. Ein einfacher Besuch einer präparierten Webseite reichte aus, um das System vollständig zu kompromittieren.
Die Schwachstelle entstand durch drei separate, an sich harmlose Funktionen, die in Kombination kritisch wurden: OpenClaw akzeptierte Gateway-URLs blind über URL-Parameter (?gatewayUrl=attacker.com), speicherte diese persistent und sendete automatisch das Auth-Token an die neue Gateway-URL. Zusätzlich validierte der WebSocket-Server den Origin-Header nicht, was Cross-Site WebSocket Hijacking ermöglichte und localhost-Zugriffe erlaubte. Mit dem gestohlenen Token konnten Angreifer alle Sicherheitsfunktionen per API deaktivieren (Container-Sandboxing, Benutzerbestätigung) und beliebige Systembefehle ausführen.
Betroffene Versionen: Alle Versionen bis v2026.1.24-1 sind verwundbar.
Erkennung: Prüfen Sie OpenClaw-Logs auf unerwartete Gateway-URL-Änderungen, WebSocket-Verbindungen zu unbekannten Hosts und API-Calls zu exec.approvals.set oder config.patch ohne Benutzerinteraktion. Überprüfen Sie localStorage auf manipulierte gatewayUrl-Einträge.
Empfehlung: Sofortiges Update auf die neueste Version. Rotieren Sie alle Auth-Tokens, falls Sie vermuten, dass Ihre Instanz kompromittiert wurde. Die Entwickler haben ein Bestätigungsdialog für Gateway-Änderungen implementiert.
Quelle: https://github.com/openclaw/openclaw/security/advisories/GHSA-g8p2-7wf7-98mq
