Entwickler, die lokale KI-Agenten betreiben, erwarten selten, dass ein einfacher Website-Besuch zu einer Systemkompromittierung führen kann. Die ClawJacked-Schwachstelle änderte diese Annahme. Forscher entdeckten, dass das lokale Gateway-Design von OpenClaw es bösartigen Websites ermöglichte, KI-Agenten zu übernehmen, die auf dem Rechner eines Nutzers liefen.
Die Schwachstelle schuf eine direkte Verbindung zwischen einem Browser-Tab und einem leistungsstarken lokalen Automatisierungstool. Angreifer konnten diesen Weg nutzen, um Daten zu stehlen, Protokolle auszulesen und Befehle auszuführen. Der Vorfall zeigt, wie KI-Agentenplattformen neue Sicherheitsrisiken schaffen, wenn sie mit lokalen Diensten interagieren.
Was ist OpenClaw?
OpenClaw ist eine Open-Source-KI-Agentenplattform, die lokal auf dem Rechner eines Entwicklers läuft. Die Plattform automatisiert Aufgaben wie Nachrichtenversand, Terminplanung, Dateizugriff und Systembefehle. Viele Entwickler nutzen das Tool, um Arbeitsabläufe zu optimieren und KI in ihre täglichen Prozesse zu integrieren.
Zur Verwaltung der Agenten betreibt OpenClaw einen lokalen Gateway-Dienst. Dieser Dienst kommuniziert über WebSocket-Verbindungen. Das Gateway authentifiziert Geräte und verarbeitet Anfragen zur Steuerung der Agenten. Genau diese Architektur wurde zum Einstiegspunkt für den Angriff.
So funktionierte die ClawJacked-Schwachstelle
Die Schwachstelle entstand durch die Art und Weise, wie OpenClaw Verbindungen über localhost behandelte. Das Gateway vertraute Verbindungen, die vom lokalen System stammten. Browser können WebSocket-Verbindungen zu localhost öffnen, ohne dabei die üblichen Cross-Origin-Schutzmechanismen auszulösen.
Ein Angreifer musste das Opfer lediglich dazu bringen, eine bösartige Website zu besuchen. Eingebetteter JavaScript-Code auf der Seite initiierte eine WebSocket-Verbindung zum lokalen OpenClaw-Gateway. Da das Gateway keine wirksamen Schutzmechanismen gegen Brute-Force-Angriffe über localhost implementiert hatte, konnte der Angreifer Passwörter in hoher Geschwindigkeit erraten.
Sobald sich der Angreifer erfolgreich authentifiziert hatte, akzeptierte das Gateway die Verbindung automatisch als vertrauenswürdiges Gerät. Es erschien keine Benutzerabfrage oder Bestätigung. Ab diesem Moment hatte der Angreifer die Kontrolle über den KI-Agenten.
Mit diesem Zugriff konnte der Angreifer:
- Gespeicherte Zugangsdaten extrahieren
- Protokolle und Gesprächsverläufe einsehen
- Mit angebundenen Diensten interagieren
- Automatisierte Befehle über den Agenten ausführen
Selbst starke Passwörter boten in dieser Architektur nur begrenzten Schutz. Automatisierte Rateversuche konnten mit hoher Geschwindigkeit und ohne effektive Begrenzung durchgeführt werden.
Sicherheitsauswirkungen
OpenClaw läuft häufig mit umfangreichen Systemberechtigungen. Die Plattform kann auf lokale Dateien, externe Dienste und Entwicklungswerkzeuge zugreifen. Diese enge Integration erhöht das Schadenspotenzial im Falle einer erfolgreichen Kompromittierung.
Ein übernommener KI-Agent legt nicht nur Anwendungsdaten offen. Er kann auch Zugriff auf API-Schlüssel, sensible Projektdateien und Kommunikationsprotokolle ermöglichen. In Entwicklungsumgebungen kann dieser Zugriff sogar Test- oder Produktionsanmeldeinformationen betreffen.
Der Vorfall verdeutlicht ein grundlegenderes Problem im Bereich KI-Tools. Viele Agentenplattformen priorisieren Funktionalität und Automatisierung. Sicherheitsisolation und strenge Authentifizierung müssen jedoch ebenso hohe Priorität erhalten.
Patch und Schutzmaßnahmen
Nachdem Forscher die Schwachstelle gemeldet hatten, veröffentlichte das OpenClaw-Team eine aktualisierte Version. Das Update stärkt die Authentifizierungsmechanismen und verbessert die Behandlung lokaler Verbindungen im Gateway. Zudem begrenzt es die Möglichkeit von Brute-Force-Angriffen über localhost.
Nutzer, die OpenClaw einsetzen, sollten umgehend auf die neueste Version aktualisieren. Entwickler sollten außerdem Firewall-Regeln überprüfen und die Exposition lokaler Dienste soweit möglich einschränken. Die Überwachung ungewöhnlicher Agentenaktivitäten bietet zusätzlichen Schutz.
Organisationen, die KI-Agenten in ihre Arbeitsabläufe integrieren, sollten Sicherheitsprüfungen durchführen. Lokale Dienste dürfen niemals davon ausgehen, dass localhost-Verkehr automatisch sicher ist.
Fazit
Die ClawJacked-Schwachstelle zeigte, wie browserbasierte Skripte unsichere lokale Dienste ausnutzen können. Ein einziger Besuch einer bösartigen Website konnte einen leistungsstarken KI-Agenten übernehmen, ohne dass der Nutzer es bemerkte. Das Update behebt die konkrete Schwachstelle, doch die Lehre geht weiter. KI-Agenten mit Systemzugriff benötigen strenge Authentifizierung, klare Isolation und effektive Begrenzungen gegen automatisierte Angriffe. Mit zunehmender Leistungsfähigkeit von Automatisierungstools muss sich auch das Sicherheitsdesign entsprechend weiterentwickeln.
0 Kommentare zu „ClawJacked-Schwachstelle setzte OpenClaw Webseitennahmen aus“