OpenClaw hat OpenDoor: Sichereitsforscher entlarven gravierende Sicherheitslücke im Hype-Agenten "Clawdbot"

Der populäre Open-Source-KI-Agent OpenClaw lässt sich durch manipulierte Dokumente vollständig übernehmen. Sicherheitsforscher zeigen, wie Angreifer eine dauerhafte Hintertür installieren und den Rechner des Nutzers kompromittieren können.

Durch sogenannte Indirect Prompt Injection können Angreifer langfristige Kontrolle über das System erlangen, zeigen Sicherheitsforscher von Zenity Labs. Dafür reicht ein manipuliertes Dokument, ohne dass der Nutzer weitere Eingaben macht.

Das Problem liegt laut den Forschern in der Architektur: OpenClaw aka Clawdbot verarbeitet Inhalte aus nicht vertrauenswürdigen Quellen wie E-Mails oder geteilten Dokumenten im selben Kontext wie direkte Nutzeranweisungen. Eine Trennung zwischen dem, was der Nutzer will, und dem, was der Agent nebenbei liest, existiert nicht. Der Agent verlasse sich primär auf die Sicherheitsmechanismen des zugrundeliegenden Sprachmodells.

Anders als herkömmliche Chatbots ist OpenClaw zudem darauf ausgelegt zu handeln: Er kann Befehle ausführen, Dateien lesen und schreiben und arbeitet mit den Berechtigungen, die ihm bei der Einrichtung gewährt wurden.

Vom harmlosen Dokument zur Telegram-Hintertür

Die Forscher demonstrieren den Angriff anhand eines typischen Unternehmensszenarios: Ein Mitarbeiter installiert OpenClaw und verbindet den Agenten mit Slack sowie Google Workspace.

Der Angriff beginnt mit einem harmlos wirkenden Dokument. Tiefer im Text ist jedoch ein versteckter Befehl eingebettet. Wenn OpenClaw das Dokument verarbeitet, wird er dazu gebracht, eine neue Chat-Integration anzulegen: einen Telegram-Bot mit einem vom Angreifer vorbereiteten Zugangsschlüssel.

Sobald die Integration steht, akzeptiert OpenClaw Befehle vom Angreifer. Der ursprüngliche Einstiegspunkt wird nicht mehr benötigt. Der Angreifer verfügt nun über einen dauerhaften Kontrollkanal außerhalb der Sichtbarkeit des Unternehmens. Den exakten Angriffscode geben die Forscher bewusst nicht bekannt.

Von der Agent-Kontrolle zur Rechner-Kontrolle

Mit der Hintertür können Angreifer den Agenten direkt missbrauchen. Da OpenClaw mit den Berechtigungen des Nutzers operiert, kann er Befehle auf dem Rechner ausführen. In einer Demo zeigen die Forscher, wie sie Dateien lokalisieren, an einen eigenen Server schicken und anschließend löschen.

Noch beunruhigender ist die Möglichkeit zur Persistenz. OpenClaw verwendet eine Konfigurationsdatei namens SOUL.md, die das Verhalten des Agenten definiert. Über die Hintertür kann ein Angreifer diese Datei modifizieren. In ihrem Proof of Concept erstellen die Forscher eine geplante Aufgabe, die alle zwei Minuten läuft und SOUL.md überschreibt. Selbst wenn die ursprüngliche Chat-Integration entfernt wird, bleibt die Kontrolle bestehen.

Als finalen Schritt demonstrieren die Forscher die Installation eines sogenannten C2-Beacons. Damit wird aus dem manipulierten KI-Agenten ein klassisches Einfallstor für Hacker. Von dort aus sind Bewegung im Firmennetzwerk, das Abgreifen von Zugangsdaten oder die Verbreitung von Ransomware möglich.

Der Angriff funktioniere mit verschiedenen Modellen, darunter GPT-5.2, und über unterschiedliche Integrationen. "Wenn persönliche KI-Assistenten auf unseren Endgeräten leben sollen, ist ein Kompromiss bei der Sicherheit keine Option", schreiben die Forscher. Alle Video-Demonstrationen sind hier verfügbar.

OpenClaw kämpft mit grundlegenden Sicherheitsproblemen

Vor kurzem hatte bereits ein Entwickler OpenClaw mit dem Sicherheitsanalyse-Tool ZeroLeaks getestet, mit verheerendem Ergebnis: 2 von 100 Punkten, 84 Prozent Extraktionsrate und 91 Prozent erfolgreiche Injection-Angriffe mit gängigen Sprachmodellen. Allein Claude Opus 4.5 schnitt mit 39 von 100 Punkten besser ab, aber noch immer indiskutabel.

System-Prompts, Tool-Konfigurationen und Memory-Dateien ließen sich nahezu mühelos auslesen. Ein einfacher Scan hatte zudem 954 OpenClaw-Instanzen mit offenen Gateway-Ports gefunden, viele davon ohne jegliche Authentifizierung. Die nun demonstrierte Hintertür reiht sich in ein Muster grundlegender Sicherheitsdefizite ein.