OpenClaw-Kette: Schwachstellen gefährden 245.000 öffentliche KI-Agenten-Server
Eine Kette aus vier kritischen Schwachstellen, die OpenClaw entdeckt wurden – einer der am schnellsten wachsenden Open-Source-Plattformen für autonome KI-Agenten – hat schätzungsweise 245.000 öffentlich zugängliche
Kurzfassung
Warum das wichtig ist
- Eine Kette aus vier kritischen Schwachstellen, die OpenClaw entdeckt wurden – einer der am schnellsten wachsenden Open-Source-Plattformen für autonome KI-Agenten – hat schätzungsweise 245.000 öffentlich zugängliche
- CVE-2026-44112 (CVSS 9.6 – Kritisch): Ein Race Condition vom Typ Time-of-Check/Time-of-Use (TOCTOU) in der OpenShell-Sandbox ermöglicht es Angreifern, Schreiboperationen außerhalb der Sandbox-Grenzen umzuleiten, was Manipulationen der Konfiguration und das dauerhafte Einbringen üren auf dem Host erlaubt.
- CVE-2026-44115 (CVSS 8.8 – Hoch): Eine Lücke zwischen der Validierung ührung der Shell in OpenClaw führt dazu, dass Umgebungsvariablen – einschließlich API-Schlüssel, Tokens und Zugangsdaten – über nicht zitierte Heredocs entweichen, die zum Zeitpunkt der Validierung als sicher erscheinen.
SvyTech-Check
Redaktionelle Einordnung
Kernpunkt
Eine Kette aus vier kritischen Schwachstellen, die OpenClaw entdeckt wurden – einer der am schnellsten wachsenden Open-Source-Plattformen für autonome KI-Agenten – hat schätzungsweise 245.000 öffentlich...
Warum relevant
Obwohl jeder Fehler für sich genommen ein gewisses Gewicht hat, ist ihre kombinierte Wirkung, die „Claw Chain" bezeichnet wird, weitaus besorgniserregender.
Einordnung
SvyTech ordnet die Meldung aus Cyber Security News als Teil des Themenfelds Technologie ein und verweist auf den Originalartikel, damit Leser Fakten, Quelle und Kontext nachvollziehen koennen.
CVE-2026-44118 (CVSS 7.8 – Hoch): OpenClaw vertraut einem vom Client gesteuerten Eigentumsflag (senderIsOwner) blind, ohne dies mit der authentifizierten Sitzung abzugleichen; dies ermöglicht einem lokalen Prozess mit einem gültigen Bearer-Token die Eskalation bis hin zur Eigentümer-Ebene der Kontrolle über die Gateway-Konfiguration, die Planung und das Ausführungsmanagement.
CVE-2026-44113 (CVSS 7.7 – High): Das gleiche TOCTOU-Rennenbedingungs-Muster in Leseoperationen ermöglicht es Angreifern, validierte Dateipfade durch symbolische Links zu austauschen, die außerhalb des erlaubten Mount-Wurzelbereichs verweisen, wodurch Systemdateien und interne Artefakte exponiert werden, auf die der Agent niemals zugreifen sollte.
Obwohl jeder Fehler für sich genommen ein gewisses Gewicht hat, ist ihre kombinierte Wirkung, die „Claw Chain" bezeichnet wird, weitaus besorgniserregender. Aus einer einzigen Angriffsfläche, wie beispielsweise einem bösartigen Plugin, einer Prompt-Injection oder kompromittierten externen Eingaben, kann ein Angreifer drei Schwachstellen parallel verknüpfen:
Quellenprofil
Quelle und redaktionelle Angaben
- Quelle
- Cyber Security News
- Canonical
- https://cybersecuritynews.com/openclaw-chain-vulnerabilities/
- Quell-URL
- https://cybersecuritynews.com/openclaw-chain-vulnerabilities/
Aehnliche Inhalte
Verwandte Themen und interne Verlinkung
Weitere Artikel aus aehnlichen Themenfeldern, damit Leser direkt im selben Kontext weiterlesen koennen.
Peacock bietet werbefreie Pakete auf YouTube-Primetime-Kanälen an
YouTube hat das werbefreie Peacock Premium Plus-Paket über die Primetime Channels-Plattform integriert, wodurch Nutzer Abonnements direkt auf der YouTube-Plattform abschließen und Inhalte ohne Wechsel in eine andere Anwendung konsumieren können. Diese Maßnahme ist Teil eines umfassenden Kooperationsvertrags zwischen Google und NBCUniversal, der die nahtlose Einbindung -Ökosystem sowie weitere Werbetech-Integrationen vorsieht und die Position beider Konzerne im digitalen Rundfunkmarkt stärkt.
30.06.2026
Live Redaktion
