OpenClaw: 18 Schwachstellen mit CVSS 9.8 — CERT-Bund warnt vor kritischen Sicherheitslücken
Das BSI hat am 30. März 2026 unter der Kennung WID-SEC-2026-0930 eine kritische Warnung für OpenClaw veröffentlicht. 18 Schwachstellen, 8 CVEs, CVSS Base Score 9.8. Remoteangriffe sind möglich. Betroffen sind alle Versionen vor 2026.3.28. Ein Update ist sofort verfügbar und sollte unverzüglich eingespielt werden.
Sofortmaßnahme: Prüfen Sie Ihre OpenClaw-Version mit openclaw --version. Alles unter 2026.3.28 ist betroffen. Update: npm install -g openclaw@latest, danach openclaw gateway restart.
Überblick
OpenClaw ist ein Open-Source-KI-Assistent, der auf eigener Infrastruktur läuft — auf Servern, Laptops, Raspberry Pis oder VPS-Instanzen. Die Software verarbeitet Nachrichten aus Telegram, Discord, WhatsApp, Slack und weiteren Kanälen, führt Shell-Befehle auf dem Host aus, steuert Browser und hat Zugriff auf Dateisysteme.
Diese Architektur macht OpenClaw zu einem attraktiven Ziel: Wer die Plattform kompromittiert, hat potenziell Zugriff auf alles, was der Host bietet. Die jetzt veröffentlichten Schwachstellen ermöglichen genau das — vom SSRF über interne Netzwerke bis zur vollständigen Codeausführung über manipulierte Gateway-Credentials.
CERT-Bund Bewertung:
| CVSS Base Score | 9.8 kritisch |
| CVSS Temporal Score | 8.5 hoch |
| Remoteangriff | Ja |
| Betroffene Versionen | < 2026.3.28 |
| Fix verfügbar | Ja (2026.3.28+) |
Die CVEs im Detail
Insgesamt 8 CVEs und 18 GitHub Security Advisories decken Schwachstellen in fünf Kategorien ab:
1. Remote Code Execution und Credential-Diebstahl
Die schwerwiegendste Schwachstelle betrifft das Remote Onboarding der CLI. Bei der Ersteinrichtung akzeptierte OpenClaw entdeckte Gateway-Endpunkte ohne explizite Vertrauensbestätigung. Ein Angreifer konnte einen gefälschten Discovery-Endpunkt betreiben, das Onboarding auf sein eigenes Gateway umleiten und so alle zukünftigen Gateway-Credentials abfangen.
Das Risiko: Wer die Gateway-Credentials hat, kontrolliert den gesamten Assistenten — inklusive Shell-Zugriff, Dateisystem, Messaging-Kanäle und angeschlossene Dienste.
Ergänzend dazu: Die Host-Environment-Blocklist blockierte nicht die Umgebungsvariablen GIT_TEMPLATE_DIR und AWS_CONFIG_FILE. Dadurch konnte ein genehmigter Shell-Befehl Git oder die AWS CLI auf angreifergesteuerte Konfiguration umleiten — und so untrusted Code ausführen oder fremde Credentials laden. Gemeldet von Tencent zhuque Lab.
2. Server-Side Request Forgery (SSRF)
Zwei Schwachstellen ermöglichten SSRF-Angriffe:
- Der fal Image-Provider nutzte ungefilterte HTTP-Requests für heruntergeladene Bilder. Ein kompromittierter fal-Relay konnte das Gateway dazu bringen, interne URLs abzurufen und Metadaten oder Service-Responses über die Image-Pipeline nach außen zu leiten.
- Der SSRF-Guard für IPv6 klassifizierte mehrere spezielle IPv6-Adressbereiche fälschlich als öffentlich. Angreifer konnten interne IPv6-Ziele treffen, die eigentlich blockiert sein sollten. Ebenfalls von Tencent zhuque Lab gemeldet.
3. Privilege Escalation und Rechteumgehung
Mehrere Schwachstellen ermöglichten es Nutzern mit eingeschränkten Rechten, höhere Privilegien zu erlangen:
| Schwachstelle | Auswirkung |
|---|---|
| Node-Pairing ohne Scope-Prüfung | Ein Operator mit eingeschränkten Rechten konnte Geräte-Pairing-Anfragen genehmigen, die breitere Scopes anforderten — einschließlich Admin-Zugriff. |
| /pair approve Scope-Eskalation | Der /pair approve-Befehl prüfte die Scopes des genehmigenden Nutzers nicht. Gleicher Effekt: Privilege Escalation über Geräte-Pairing. |
Gateway operator.write → Admin-Befehle |
Über chat.send konnten Write-Scoped Caller die Admin-only-Befehle /reset (Session-Rotation) und /verbose (Verbose-Output) auslösen. |
Exec allow-always Over-Trust |
Einmalige Befehlsgenehmigungen persistierten zu breite Allowlist-Einträge, wenn Befehle über Dispatch-Wrapper liefen. |
4. Authentifizierungs- und Autorisierungs-Bypasses
| Schwachstelle | Auswirkung |
|---|---|
| Discord Exec-Approval-Bypass | Discord-Nutzer außerhalb der Approver-Allowlist konnten über Text-Befehle trotzdem Shell-Ausführungen genehmigen. |
| Discord Component-Interaction-Bypass | Button- und Component-Interactions umgingen die Guild/Channel-Policy-Gates, die für normale Nachrichten galten. |
| Google Chat / Zalo Allowlist-Downgrade | Wenn nur eine Gruppen-Allowlist konfiguriert war, wurde die Sender-Policy stillschweigend auf "open" herabgestuft. |
| Device Revocation ohne Session-Terminierung | Das Entfernen eines Geräts oder das Widerrufen eines Tokens beendete bereits aktive WebSocket-Sessions nicht. |
| Plivo V3 Webhook Replay | Durch Umordnung von Query-Parametern konnten signierte Webhooks erneut abgespielt werden. |
| Nextcloud Talk Webhook Brute-Force | Fehlende Rate-Limits bei Webhook-Signaturprüfung ermöglichten Online-Brute-Force schwacher Shared Secrets. |
5. Informationsabfluss und Sandbox-Escapes
| Schwachstelle | Auswirkung |
|---|---|
| Message-Tool Sandbox-Bypass | Die Parameter mediaUrl und fileUrl umgingen die Sandbox-LocalRoots-Validierung. Caller konnten beliebige lokale Dateien lesen. |
jq $ENV Filter-Bypass |
Die jq-Safe-Bin-Policy blockierte env, aber nicht $ENV. Umgebungsvariablen — potenziell mit API-Keys und Secrets — waren auslesbar. Von Tencent zhuque Lab gemeldet. |
| Zalo Media-Download vor Autorisierung | Eingehende Medien wurden heruntergeladen und gespeichert, bevor die Sender-Autorisierung geprüft wurde. |
Vollständige CVE-Liste
| CVE | Advisories |
|---|---|
CVE-2026-33576 | Abgedeckt durch die 18 GitHub Security Advisories (GHSA-8689, GHSA-v2v2, GHSA-3cw3, GHSA-2x4x, GHSA-63mg, GHSA-9528, GHSA-qxgf, GHSA-98hh, GHSA-jp4j, GHSA-2pr2, GHSA-p4x4, GHSA-v8wv, GHSA-m866, GHSA-hc5h, GHSA-g86v, GHSA-5r8f, GHSA-5h2w, GHSA-jccr) |
CVE-2026-33577 | |
CVE-2026-33578 | |
CVE-2026-33579 | |
CVE-2026-33580 | |
CVE-2026-33581 | |
CVE-2026-34503 | Nachträgliches Update vom 01.04.2026 |
CVE-2026-34504 |
Wer ist betroffen?
Jeder, der OpenClaw selbst hostet — ob auf einem VPS, einem Homeserver, einem Raspberry Pi oder einem Laptop. Die Schwachstellen betreffen die Kernkomponenten: Gateway-Authentifizierung, Exec-Approvals, Node-Pairing, Channel-Integrationen und Sandbox-Isolierung.
Besonders relevant für Unternehmen, die OpenClaw als internen KI-Assistenten einsetzen oder über Messaging-Kanäle (Discord, Telegram, Slack) verfügbar machen. Die Discord-Bypasses und Gateway-Auth-Schwachstellen setzen hier direkte Angriffsfläche frei.
Sofort-Update durchführen
Version prüfen
openclaw --versionAlles unter 2026.3.28 ist betroffen.
Update installieren
# Auf die neueste stabile Version updaten
npm install -g openclaw@latest
# Gateway neu starten (wenige Sekunden Downtime)
openclaw gateway restart
# Version bestätigen
openclaw --versionDie aktuell neueste Version ist 2026.3.31. Sie enthält alle Security-Fixes aus 2026.3.28 plus zusätzliche Verbesserungen.
Breaking Changes beachten: Ab Version 2026.3.28 gibt es Änderungen bei der Gateway-Authentifizierung. trusted-proxy lehnt jetzt gemischte Shared-Token-Konfigurationen ab, und der Local-Direct-Fallback erfordert den konfigurierten Token statt impliziter Same-Host-Authentifizierung. Testen Sie nach dem Update die Verbindung Ihrer Clients.
Was wurde gefixt?
Version 2026.3.28 enthält umfangreiche Security-Hardening-Maßnahmen:
- Gateway-Auth: Trusted-Proxy rejectiert Mixed-Token-Configs, Local-Direct erfordert expliziten Token
- Node-Pairing: Scope-Validierung bei Genehmigungen, Geräte-Befehle erst nach Pairing-Approval aktiv
- Exec-Approvals: Carrier-Executable-Erkennung, Discord-Approver-Allowlist wird durchgesetzt
- SSRF-Guard: IPv6-Sonderbereiche blockiert, fal-Provider nutzt gefilterte Fetches
- Sandbox: Media-Alias-Parameter durchlaufen LocalRoots-Validierung, jq-$ENV blockiert
- Channel-Security: Discord-Policy-Gates für Component-Interactions, Zalo/Google-Chat-Allowlist-Korrekturen
- Session-Management: Revoked Devices werden sofort disconnected, Replay-Cache canonicalized
- Plugin-Installationen: Dangerous-Code-Findings blockieren jetzt standardmäßig
Lehren für Self-Hosted-KI-Infrastruktur
Dieser Vorfall zeigt: Self-Hosted-KI-Assistenten sind kein "set and forget". Sie haben dieselben Sicherheitsanforderungen wie jede andere Serveranwendung — mit dem Unterschied, dass sie typischerweise weitreichende Berechtigungen auf dem Host haben:
- Regelmäßig updaten. OpenClaw hat einen schnellen Release-Zyklus. Wer Wochen zurückliegt, akkumuliert Risiko.
- Gateway nicht direkt ins Internet. Immer hinter einem Reverse-Proxy mit TLS betreiben. Rate-Limiting aktivieren.
- Exec-Approvals restriktiv konfigurieren. Nicht jeden Befehl automatisch genehmigen. Allowlists pflegen.
- Node-Pairing nur über vertrauenswürdige Netzwerke. Das Onboarding ist jetzt abgesichert, aber grundsätzlich gilt: Pairing-Tokens und Gateway-Credentials gehören nicht in unsichere Kanäle.
- Monitoring einrichten. CERT-Bund Advisories abonnieren. GitHub Security Advisories für genutzte Software beobachten.
- Least Privilege. OpenClaw nicht als Root laufen lassen. Eigenen User mit eingeschränkten Rechten verwenden.
KI-Infrastruktur sicher betreiben?
Wir unterstützen bei der Absicherung von Self-Hosted-KI-Systemen, Server-Hardening und der Einrichtung von Update-Prozessen für kleine und mittlere Unternehmen.
Sicherheitsberatung anfragenBinary System Services betreibt selbst OpenClaw-Infrastruktur und hat das Update am 1. April 2026 innerhalb von Minuten nach Analyse des CERT-Bund-Advisories eingespielt. Wir kennen die Plattform, ihre Stärken und ihre Angriffsfläche. Wenn Sie Unterstützung bei der Absicherung Ihrer KI-Infrastruktur brauchen: Sprechen Sie uns an.
Quellen
- CERT-Bund: WID-SEC-2026-0930 — OpenClaw: Mehrere Schwachstellen
- GitHub Security Advisories: GHSA-3cw3, GHSA-m866, GHSA-g86v, GHSA-qxgf, GHSA-jccr, GHSA-v8wv und 12 weitere
- OpenClaw Release Notes: v2026.3.31
- Tencent zhuque Lab (AI-Infra-Guard): github.com/Tencent/AI-Infra-Guard