Vor ein paar Tagen wurde in OpenClaw eine Schwere Sicherheitslücke korrigiert, die unter den richtigen Bedingungen eine bösartige Website zu einem IA-Agent, der vor Ort läuft und die Kontrolle über sie hätte verbinden können. Der Ausfall wurde von externen Forschern gemeldet und vom OpenLaw-Team in weniger als 24 Stunden behoben, was sowohl die Geschwindigkeit der Reaktion als auch die Ernsthaftigkeit des Problems hervorhebt. Um den ursprünglichen technischen Bericht zu lesen, können Sie die von Oasis Security auf Ihrem Blog veröffentlichte Notiz sehen: Oasis Sicherheit.
Der Angriff basierte auf einem sehr konkreten Vektor: dem lokalen Gateway von OpenClaw, einem WebSocket-Server, der standardmäßig weiterhin auf dem Computer des Entwicklers zuhört. Von einer schädlichen Website, JavaScript kann Verbindungen zu localhost mit WebSockets öffnen - etwas, das Browser erlauben - und, unter Ausnutzung der Abwesenheit eines effektiven Versuch Begrenzung Mechanismus, drücken Sie das Gateway-Passwort. Sobald der Angreifer mit administrativen Berechtigungen authentifiziert wurde, akzeptierte das Gateway durch Design automatisch die Registrierung neuer "Trust-Geräte", wenn die Verbindung von der lokalen Maschine kam, was es den Forschern erlaubte, ein komplettes Kontrollszenario auf dem Agenten zu zeichnen: Remote-Interaktion, Umschaltung von Konfigurationen, Auflistung von Knoten und Lese von Logos.
Die Kombination von Verbindungen von localhost ohne gebührende Einschränkungen und lokale Anpassung Selbstgenehmigung war der Schlüssel zum Problem.. Es ist ein Beispiel dafür, wie der Komfort für den Entwickler (weniger Reibung, lokale Werkzeuge zu verbinden) ein Tor für Angreifer werden kann, wenn das Risiko einer schädlichen Web-Navigation nicht berücksichtigt wird.
OpenClaw hat ein schnelles Patch geschrieben: die Korrektur erscheint in der Version 2026.2.25, veröffentlicht am 26. Februar 2026. Wenn Sie OpenClaw auf jedem Computer verwenden, ist es richtig, so schnell wie möglich zu aktualisieren und die in Ihrer Instanz registrierten Zugriffs- und Vertrauensgeräte zu überprüfen.
Die Oasis Security Warnung dient auch als Erinnerung an ein größeres Problem: Die Laufzeiten von IA-Agenten haben einen viel größeren Angriffsradius als herkömmliche Anwendungen. Diese Plattformen können im Zusammenhang mit Business-Services und Tools privilegierte Aktionen ausführen und Daten zwischen Systemen verschieben; daher kann eine engagierte Instanz unverhältnismäßige Schäden verursachen. Zusätzliche Berichte von Gruppen wie Hexe und NeuroTrust haben dokumentiert, wie Fälle, die dem Internet ausgesetzt sind, und bösartige Fähigkeiten erweitern diese Angriffsfläche.
Neben dem Ausfall, der die Entführung über localhost erlaubte, korrigierte OpenClaw eine weitere Schwachstelle der "Log-Vergiftung", die es erlaubt, bösartige Einträge in den Registrierungsdateien von WebSocket-Anfragen an öffentliche Instanzen zu schreiben (TCP-Port 18789). Da einige Agenten ihre eigenen Protokolle lesen, um operative Entscheidungen zu reinigen oder zu führen, könnte ein Angreifer versuchen, Inhalte einzufügen, die der Agent als gültige Informationen interpretierte und Manipulationen in seine Argumentation oder unerwünschte Handlungen verursachte. Dieses Problem wurde von Eye Security dokumentiert und in der Version gelöst 2026.2.13; Sie können die Analyse in Forschung.eye.Sicherheit.
Diese Episode ist Teil einer breiteren Palette von Sicherheitsbefunden in OpenClaw: In den letzten Wochen wurden mehrere Warnungen veröffentlicht, die von der Remote-Code-Ausführung bis zur Authentifizierungs-Bypass und SSRF, jeweils mit seinem entsprechenden Patch. Die Mitteilungen und Patches sind in OpenClaw Sicherheits-Repositories in GitHub verfügbar, zum Beispiel auf den CVE-Seiten und den mit CVE-2026-25593, CVE-2026-24763 und andere Korrekturen, die in die Veröffentlichungen des Projekts.
Nicht das gesamte Risiko kommt aus der Infrastruktur: Das Kompetenz- und Markplace-Ökosystem wird ebenfalls genutzt. Forscher haben bösartige Fähigkeiten in ClawHub entdeckt, die als Container fungieren, um eine neue Kopie des Trojan Atomic Stealer in macOS zu verteilen. In solchen Fällen beginnt die Infektionskette in der Regel mit einer scheinbar harmlosen Anweisung, dass die Laufzeit herunterlädt und läuft, und dass wiederum die schädliche Binär von einem vom Angreifer gesteuerten Server absenkt. Trend Micro bietet einen detaillierten Bericht über diesen Liefermodus in Ihrer Analyse: Trend Micro.
Beunruhigender ist die Entstehung von sozialen Kampagnen innerhalb der Fähigkeiten-Plattform selbst: drohende Akteure haben Kommentare zu legitimen Listenings, die Befehle, manuell auf macOS-Terminals laufen, hinterlassen, und diese Befehle wiederherstellen Malware von Servern, die zuvor mit ähnlichen Kampagnen verbunden. Es gibt auch Fälle, in denen Fähigkeiten, die legitime Funktionen (z.B. cryptomoneda-bezogene Tools) erscheinen, Logik verbergen, um Gelder oder Exfilter-Tasten abzuleiten. Eine kürzliche Analyse von Straiker von Tausenden von Fähigkeiten fand Dutzende von Beispielen mit schädlichem oder betrügerischem Verhalten; sein Bericht ist in - Was?.
Angesichts dieses Bildes sind die Tipps einfach, aber wesentlich. Erstens: aktualisiert OpenClaw auf die neueste Version(z.B. 2026.2.25 mit der schnellen Korrektur für localhost bug). Zweitens, behandeln Agent-Laufzeiten als unzuverlässigen Code: folgen Sie der Empfehlung des Microsoft Defender Security Research Teams und setzen OpenLaw nur in völlig isolierten Umgebungen - eine dedizierte virtuelle Maschine oder ein separates physisches System - mit unbefristeten Anmeldeinformationen und eingeschränkten Zugriffsrichtlinien; Ihre Mitteilung kann hier gelesen werden: Microsoft.
Drittens, regelmäßig prüfen die Geräte und Berechtigungen, die den Agenten erteilt werden, vermeiden Sie die Installation von Fähigkeiten, ohne sie gründlich zu überprüfen und führen keine Befehle von Dritten in Ihrem Terminal vorgeschlagen, ohne sie zu überprüfen. Wenn Sie die Integration mit Business-Services verwenden, wenden Sie das Prinzip von weniger Privileg und überwachen das Verhalten des Agenten und ausgehende Verbindungen. Es ist auch ratsam, Anmeldeinformationen zu drehen, die möglicherweise ausgesetzt worden sind und Protokolle überprüfen, um ungewöhnliche Aktivität nach Sicherheitsaktualisierungen oder Berichten zu erkennen.
Schließlich erinnert dieser Fall daran, dass die Sicherheit von IA-Agent-Plattformen hybride Ansätze erfordert: einerseits die klassischen Sicherheitstechniken (Patches, Zugriffskontrolle, Versuchsbegrenzung); andererseits spezifische Maßnahmen für neue Bedrohungen wie indirekte Injektionen über Logs, manipulierte Fähigkeiten und Agent-to-agent-Ketten, die implizites Vertrauen zwischen Komponenten ausnutzen. Organisationen und Entwickler müssen diese Überlegungen in ihre nicht-menschliche Identitäts-Governance und laufende Sicherheitstests einbeziehen; für eine Vision technischer und operativer Implikationen sind die Analysen von Endor Labs und anderen Forschungsteams nützlich zu lesen: Endor Labs.
Kurz gesagt, die Lücke in OpenClaw wurde schnell gelöst, aber die Folge zeigt systemische Risiken in Laufzeiten von Agenten und Fähigkeiten Märkte. Updating, isolating und auditioning sind keine neuen Empfehlungen, aber in diesem Zusammenhang werden sie unverzichtbare Maßnahmen, um zu verhindern, dass ein einfacher Browser oder ein scheinbar harmloses Können der Schlüssel zu einer großen Intrusion wird.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...