Postmortem-Bibliothek

OpenClaw: Kritischer RCE und Token-Exfiltration über schädliche Webinhalte

Dieser Artikel analysiert den OpenClaw-Sicherheitsvorfall vom Januar 2026, bei dem ein kritischer Bruch der Vertrauensgrenzen Angreifern Remote Code Execution und die Exfiltration von Authentifizierungstoken in selbst gehosteten KI-Agent-Deployments ermöglichte. Wir zeigen, wie schädliche Webinhalte, die von autonomen Agenten verarbeitet wurden, zur vollständigen Übernahme von Instanzen führten – und welche Lehren Engineering-Teams aus der Reaktion von OpenClaw ziehen können.

Link zur Quelle

Unternehmen und Produkt

OpenClaw ist ein Open-Source-Framework für die Erstellung und Bereitstellung autonomer KI-Agenten. Diese Agenten können im Web navigieren, Tools ausführen und komplexe, mehrstufige Workflows verwalten. Da es sich in erster Linie um eine selbst gehostete Lösung handelt, wird sie von Unternehmen bevorzugt, die eine lokalisierte Kontrolle über ihre KI-Infrastruktur und den Schutz ihrer Daten benötigen.

Die Stärke der Plattform liegt in ihrer tiefen Integration mit lokalen Dateisystemen, internen APIs und Drittanbieterdiensten. Diese tiefgreifenden Rechte machen OpenClaw-Instanzen jedoch zu einem “begehrten” Ziel für Angreifer, die sich Zugang zu einem Unternehmensnetzwerk oder einer automatisierten Pipeline verschaffen wollen.

Das war passiert

Die Sicherheitslücke entstand durch die fehlende Einhaltung einer klar definierten Vertrauensgrenze zwischen nicht vertrauenswürdigen Webinhalten und der Ausführungsumgebung des Bots.

Versuchte ein OpenClaw-Bot, eine von einem Angreifer kontrollierte Website zu verarbeiten oder zu „durchsuchen“, konnten speziell präparierte Eingaben die vorgesehenen Sanitization-Mechanismen umgehen und die Runtime manipulieren.

Dies hatte drei wesentliche Auswirkungen:

  • Remote Code Execution (RCE): Angreifer konnten beliebige Befehle innerhalb der OpenClaw-Runtime ausführen.
  • Token-Exfiltration: Sensible Authentifizierungstoken, die vom OpenClaw-Gateway verwendet wurden, wurden an den Angreifer weitergegeben.
  • Instanzübernahme: Mit gültigen Tokens und RCE konnten Angreifer die vollständige Kontrolle über die Instanz sowie alle angebundenen nachgelagerten Dienste erlangen.

Der Incident war besonders kritisch, da eine eigentlich standardisierte, automatisierte Aufgabe – das Aufrufen bzw. Verarbeiten einer URL – zu einem direkten Angriffsvektor für eine vollständige Systemkompromittierung wurde.

Timeline

  • Incident-Identifizierung: Nach Responsible Disclosure unter der Kennung CVE-2026-25253 erfasst.
  • Detection/Eskalation: Bearbeitung im Rahmen eines Responsible-Disclosure-Prozesses; die konkrete TTD (Time to Detect) wurde nicht öffentlich kommuniziert.
  • Resolution: Behebung durch einen Security-Patch im Release v2026.1.29.

Zeit bis zur Erkennung (TTD): Nicht bekannt gegeben.

Zeit bis zur Behebung (TTR): Eine korrigierte Version (v2026.1.29) wurde zur Verfügung gestellt; die vollständige Behebung hing davon ab, dass die Nutzer ein Upgrade durchführten und ihre Anmeldedaten änderten.

Wer war betroffen?

Nutzer, die eine selbst gehostete Version von OpenClaw vor v2026.1.29 betrieben, waren gefährdet. Die Risiken waren deutlich höher für:

  • Instanzen, die für die Verarbeitung von Inhalten aus nicht vertrauenswürdigen oder öffentlichen Websites konfiguriert waren.
  • Bereitstellungen, die Gateways ohne erzwungene TLS- oder Authentifizierung verwendeten.
  • Umgebungen, die langlebige API-Schlüssel mit hohen Berechtigungen verwendeten.

Wie reagierte OpenClaw?

OpenClaw hat den Prozess der Responsible Disclosure eingehalten, indem eine gepatchte Version veröffentlicht und ein formelles Security Advisory publiziert wurde. Das Team hat dabei:

  • v2026.1.29 mit dem entsprechenden Fix bereitgestellt
  • ein sofortiges Upgrade auf v2026.2.6 oder höher empfohlen
  • detaillierte Handlungsempfehlungen zur Credential Rotation und Deployment Hardening veröffentlicht
  • die Security-Dokumentation um Best Practices zu Netzwerkisolierung, HTTPS und Plugin-Vetting ergänzt

Dieser Ansatz zielte darauf ab, das Risiko einer breitflächigen Ausnutzung schnell zu minimieren und Betreibern gleichzeitig konkrete Remediation-Schritte an die Hand zu geben.

Wie kommunizierte OpenClaw?

Die Kommunikation erfolgte über das offizielle Security Guide and Advisory Portal. Die Botschaften waren direkt und legten mehr Wert auf Transparenz als auf Marketing: Sie definierten klar das RCE-Risiko, listeten die betroffenen Versionen auf und enthielten eine Checkliste für Abhilfemaßnahmen.

Wichtige Learnings für andere Teams

  • AI-Ausführung isolieren: KI-Agenten, die externe Daten verarbeiten, müssen in einer gehärteten Sandbox-Umgebung betrieben werden. Nicht vertrauenswürdige Webinhalte dürfen niemals direkten Zugriff auf den Execution Context des Host-Systems erhalten.
  • Kurzlebige Credentials einsetzen: Um die Auswirkungen einer möglichen Token-Exfiltration zu minimieren, sollten zeitlich begrenzte und klar gescopte Tokens verwendet werden – keine langlebigen Master-Keys.
  • Secure by Default: Self-Hosted-Software muss standardmäßig (out of the box) Authentifizierung und TLS-Verschlüsselung erzwingen, um unbeabsichtigte Offenlegung zu verhindern.
  • Vulnerability-Urgency: Sicherheitslücken in Automatisierungs-Tools sind mit derselben operativen Priorität zu behandeln wie ein vollständiger Service-Ausfall.

Zusammenfassung

OpenClaw hat eine kritische Schwachstelle (CVE-2026-25253) behoben, die es Angreifern ermöglichte, über schädliche URLs Code auszuführen und Anmeldedaten zu stehlen. Nutzer mussten auf Version 2026.1.29 oder höher aktualisieren, alle API-Schlüssel rotieren und eine Netzwerkisolierung implementieren, um sicher zu bleiben.

So kann ilert unterstützen

Schwerwiegende Schwachstellen wie CVE-2026-25253 erfordern eine schnelle, koordinierte Reaktion über Security, Plattform und IT-Betrieb hinweg. ilert unterstützt Unternehmen dabei, unter hohem Zeitdruck strukturiert und effizient zu handeln:

  • Vulnerability Alerting:
    ilert lässt sich in gängige Security-Scanner integrieren und erzeugt automatisch High-Priority-Incidents, sobald kritische CVEs in produktiven Umgebungen erkannt werden. Dadurch werden Security-Teams in Echtzeit alarmiert und können unmittelbar reagieren.
  • Confidential Response:
    Mit privaten Incident Rooms ermöglicht ilert eine vertrauliche Abstimmung zu Exploits, Risikoanalysen und Remediation-Maßnahmen – getrennt von allgemeinen Kommunikationskanälen.
  • Stakeholder-Kommunikation:
    Die KI-gestützte Incident-Kommunikation unterstützt bei der Erstellung klarer, strukturierter Updates für interne Stakeholder und Statusseiten. So bleibt die Transparenz gewahrt, ohne operative Teams zusätzlich zu belasten.
  • On-Call Routing: SEV-1-Security-Alerts werden automatisch an definierte Security-Leads und Infrastrukturverantwortliche eskaliert. Durch gezieltes Routing und Eskalationsregeln wird das Ausnutzungsfenster signifikant verkürzt.
Weitere Postmortems finden:
SEV-1
10.03.2026

Clerk: Eine versteckte Cloud-Datenbankmigration führt zu einem vollständigen Ausfall der Authentifizierung

Am 10. März 2026 kam es bei Clerk zu einem erheblichen Ausfall, der sich auf die Authentifizierung und das Session-Management der gesamten Plattform auswirkte. Der Incident wurde durch eine fehlgeschlagene Live-Migration innerhalb von Google Cloud SQL ausgelöst, die zu einem starken Anstieg der Festplattenlatenz führte. Dieser Leistungsabfall breitete sich im gesamten System von Clerk aus und führte zu Lock-Konflikten in der Datenbank, Sättigung der Rechenressourcen und weitreichenden API-Fehlern. Trotz Abhilfemaßnahmen geriet das System in einen beeinträchtigten Zustand, in dem die meisten Anfragen 429-Fehler zurückgaben, was Authentifizierungsabläufe verhinderte. Das Problem wurde erst behoben, nachdem der zugrundeliegende Cloud-Vorgang abgeschlossen war.

Clerk
SEV-1
08.01.2026

Wie die „Ni8mare“-Lücke 100.000 Server für eine vollständige Übernahme öffnete

Anfang 2026 veröffentlichte n8n eine kritische Sicherheitslücke, die als CVE-2026-21858 geführt und mit dem Spitznamen „Ni8mare“ versehen wurde. Die Schwachstelle erlaubte es nicht authentifizierten Angreifern, Remote Code Execution (RCE) auf selbstgehosteten Instanzen auszuführen. Durch Ausnutzen eines „Content-Type Confusion“-Bugs bei der Verarbeitung von Webhooks und Formularübermittlungen konnten Angreifer die Authentifizierung umgehen, sensible Serverdateien lesen und letztlich die vollständige Kontrolle über das Host-System erlange

n8n
SEV-1
09.01.2026

Intercom: Leere Database Routing Map verursacht vollständigen US-Serviceausfall

In diesem Artikel untersuchen wir den Ausfall im Januar 2026, bei dem ein Fehler im Datenbank-Routing zu einem totalen Blackout führte. Wir analysieren, wie ein Logikfehler in einer Sharded-Datenbank-Schicht eine gesamte Anwendung von ihren Daten isolieren kann.

Intercom
Bereit, dein Incident-Management zu verbessern?
Starte kostenlos

Die Lösung für Betriebsteams.

Kostenlos startenMehr dazu
© 2011 - 2025 ilert
Produkt
Verlässliche & interaktive AlarmierungRufbereitschafts- & Eskalations­managementCall RoutingStatusseitenIntegrationenChatOpsilert AITerraform ProviderPreiseMehr Features
Integrationen
PRTG Network MonitorDatto AutotaskPrometheusCheckmkDatadogZabbixMehr Integrationen
Ressourcen
BlogFallstudienGlossarDokumentation & FAQAPI DokumentationRelease NotesSecurityPostmortem-Bibliothek
ilert Status - Status
Unternehmen
KarriereÜber unsPressKontakt
Vergleich
Pagerduty AlternativeOpsgenie AlternativeServiceNow & ilertilert vs. andere Tools
German
ImpressumDatenschutzCookie-EinstellungenRechtliches
Danke! Deine Einreichung ist eingegangen!
Hoppla! Beim Absenden des Formulars ist etwas schief gelaufen.
Unsere Cookie-Richtlinie
Wir verwenden Cookies, um Ihre Erfahrung zu verbessern, den Seitenverkehr zu verbessern und für Marketingzwecke. Erfahren Sie mehr in unserem Datenschutzrichtlinie.
PräferenzenAlles akzeptieren und schließen
Open Preferences
Danke! Deine Einreichung ist eingegangen!
Hoppla! Beim Absenden des Formulars ist etwas schief gelaufen.
Danke! Deine Einreichung ist eingegangen!
Hoppla! Beim Absenden des Formulars ist etwas schief gelaufen.