Fünf OpenClaw-Nulltags ermöglichen Angreifern die Übernahme vertrauenswürdiger KI-Agenten

Philip Garabandic hat jedoch festgestellt, dass dieses Vertrauensmodell aufgrund einer fehlerhaften Identitätsauflösung während der Verarbeitung der Whitelists versagt. Fünf OpenClaw-0-Days Die Schwachstellen gehen auf ein wiederkehrendes Designproblem zurück, bei dem während der Dienstinitialisierung lesbare menschliche Identifikatoren, wie z. B.

Anzeigenamen, in stabile Benutzerverkennungen aufgelöst werden. Da Benutzernamen auf den meisten Chat-Plattformen veränderbar sind, können Angreifer vertrauenswürdige Nutzer einfach dadurch impersonieren, indem sie sich selbst in eine erlaubte Identität umbenennen.

Dieses Problem wurde ursprünglich in der Telegram-Integration dem Advisory GHSA-mj5r-hh7j-4gxf behoben. Trotz der Reparatur bestand die gleiche Ursache in fünf weiteren Channel-Erweiterungen fort, nämlich Slack, Discord, Matrix, Zalo und Microsoft Teams.

Sicherheitslage und Risiko

Jede Implementierung führte unabhängig voneinander das gleiche unsichere Muster wieder ein, was ein breiteres Problem bei verteilter Entwicklung und inkonsistenter Sicherheitsdurchsetzung aufzeigt. Im Kern der Schwachstelle liegt ein fehlerhafter Startauflösungsprozess.

Während Laufzeitprüfungen in der Regel stabile Benutzer-IDs validieren, löst die Initialisierungslogik Einträge der Erlaubnisliste über Verzeichnisabfragen basierend auf veränderbaren Feldern wie displayName oder username auf.

Falls ein Angreifer seinen Anzeigenamen vor einem Neustart des Dienstes so ändert, dass er einem in der Erlaubnisliste aufgeführten Benutzer entspricht, kann das System fälschlicherweise die ID des Angreifers in die vertrauenswürdige Erlaubnisliste einbinden.

Sobald dies geschieht, erlangt der Angreifer

Sobald dies geschieht, erlangt der Angreifer vollständige Kontrolle über die Interaktionen der Agenten, während der legitime Benutzer stillschweigend ausgeschlossen wird.

Die Schwachstellen wurden mit einem spezialisierten, KI-gestützten statischen Analysewerkzeug namens agentgg identifiziert, das auf Basis historischer Advisories maßgeschneiderte Detektoren generiert.

Durch die Analyse früherer OpenClaw-Schwachstellen entwickelte das Werkzeug zielgerichtete Erkennungslogik für wiederkehrende Anti-Muster und identifizierte damit einen Fehler, der in mehreren Modulen wiederholt auftrat.

Sicherheitslage und Risiko

Alle gefundenen Schwachstellen wurden seither behoben; die Patches erzwingen eine strenge ID-basierte Übereinstimmung und eine auflösung basierend auf Gate-Namen hinter expliziten Konfigurationsflags. Aus Sicherheitsperspektive entspricht diese Klasse 639, die das Umgehen über benutzerkontrollierte Identifikatoren beschreibt.

Die Auswirkung ist insbesondere in Umgebungen, da kompromittierter Zugriff zur willkürlichen Ausführung, zum Diebstahl Bewegung innerhalb integrierter Systeme führen kann. Philip Garabandic weist darauf hin, dass das Patchen eines einzelnen Komponenten die zugrundeliegende Schwachstellenklasse nicht eliminiert.

Ohne systemische Erkennungsmechanismen kann derselbe Fehler stillschweigend über parallele Implementierungen hinweg propagieren. Durch die Operationalisierung historischer Incident-Daten in automatisierte Erkennungsworkflows können Organisationen wiederholte Ausfälle verhindern und Vertrauensgrenzen in zunehmend komplexen KI-gestützten Architekturen stärken.

Abi ist Security-Editorin und Reporterin bei