heise PlusAbo
Anzeige
Alert!

Mehr als 60 Sicherheitsprobleme in KI-Assistent OpenClaw gelöst

Angreifer können im Kontext von OpenClaw unter anderem Schadcode auf Systeme schieben und ausführen. Sicherheitspatches sind verfügbar.

vorlesen Druckansicht 2 Kommentare lesen
Ein symbolischer Updateknopf auf einer Tastatur.

(Bild: Tatiana Popova/Shutterstock.com)

Lesezeit: 2 Min.
Security
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Wer mit KI-Assistenten ClawBot arbeitet, sollte sicherstellen, dass die aktuelle Version installiert ist. Ist das nicht der Fall, können Angreifer an mehr als 60 Schwachstellen ansetzen und PCs im schlimmsten Fall vollständig kompromittieren.

ClawBot ist ein äußerst mächtiger KI-Assistent, der unter anderem eigenständig Software nachinstallieren und etwa E-Mail-Programme bedienen kann. Um sein volles Potenzial zu entfalten, benötigt ClawBot weitreichende Systemrechte, was natürlich Gefahren brigt.

Verschiedene Bedrohungen

Eine Auflistung aller jüngst geschlossenen Lücken sprengt den Rahmen dieser Meldung. Das CERT Bund vom BSI zeigt in einem Beitrag insgesamt 67 Sicherheitsprobleme auf. Der Großteil der Schwachstellen ist mit dem Bedrohungsgrad „hoch“ eingestuft. Es gibt aber auch „kritische“ Schwachstellen. Trotz der Einstufung des Schweregrads finden sich in den Warnmeldungen auf der OpenClaw-GitHub-Seite keine CVE-Nummern.

Am gefährlichsten gilt eine „kritische“ Schadcode-Lücke mit maximalem CVSS Score 10 von 10. Damit eine solche Attacke klappt, muss ein Angreifer als authentifizierter Nutzer auf ein Gateway zugreifen können. Ist das gegeben, kann er auf einem nicht näher beschriebenen Weg Schadcode auf Hosts schieben und ausführen. Das führt der Beschreibung zufolge zu einer vollständigen Kompromittierung eines Systems.

Durch das erfolgreiche Ausnutzen einer weiteren „kritischen“ Lücke können Angreifer im Kontext der voice-call-Erweiterung die Authentifizierung umgehen und so nicht genehmigte oder anonyme Anrufe auslösen.

Setzen Angreifer an den verbleibenden Softwareschwachstellen an, können sie unter anderem unbefugt auf Dateien zugreifen oder durch DoS-Zustände Abstürze auslösen.

Sicherheitsupdate

Derzeit erscheinen regelmäßig neue OpenClaw-Versionen, in denen oft auch Sicherheitsprobleme gelöst werden. Die in dieser Meldung angesprochenen Lücken wurden in der Ausgabe 2026.2.15 geschlossen.

Videos by heise

FĂĽr mehr Sicherheit hat OpenClaw jĂĽngst den Online-Virenscanner VirusTotal an die Seite bekommen.

(des)

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten