Sicherheitsforscher haben kritische Schwachstellen in OpenClaw entdeckt, einem Open-Source-KI-Assistenten für E-Mails, Kalender und andere Aufgaben. Das Projekt wurde nach einer Markenrechtsbeschwerde von Anthropic von Clawedbot in Moltbot und schließlich OpenClaw umbenannt.
Das Kernproblem liegt im Model Context Protocol, dem Framework, das OpenClaw für Verbindungen zu verschiedenen Diensten nutzt. MCP wurde ohne verpflichtende Authentifizierung ausgeliefert. Itamar Golan, der die KI-Sicherheitsstrategie bei SentinelOne leitet, beschreibt dies als Identity- und Execution-Problem. Nutzer geben diesen Agenten Zugriff auf E-Mails, Dateien und Firmensysteme, aber dem zugrunde liegenden Protokoll fehlen integrierte Sicherheitskontrollen.
Forscher fanden 1.862 MCP-Server ohne Authentifizierung im Internet, berichtet die Sicherheitsfirma Knostic. Jamieson O’Reilly von Dvuln entdeckte acht komplett offene OpenClaw-Instanzen, die vollständige Befehlsausführung ohne Zugangsdaten erlaubten. Er demonstrierte auch einen Supply-Chain-Angriff über ClawdHub, die Skills-Bibliothek des Assistenten, und erreichte in acht Stunden 16 Entwickler in sieben Ländern.
Der Assistent speichert sensible Daten in Klartext-Dateien auf lokalen Systemen. Hudson Rock berichtete, dass populäre Infostealer-Malware-Familien wie RedLine, Lumma und Vidar OpenClaw bereits auf ihre Ziellisten gesetzt haben. Shruti Gandhi von Array VC meldete 7.922 Angriffsversuche auf die Instanz ihrer Firma.
Sicherheitsforscher Matvey Kukuy extrahierte in fünf Minuten einen SSH-Private-Key aus einer OpenClaw-Instanz durch Prompt Injection. Dabei verstecken Angreifer schädliche Anweisungen in Dokumenten, die die KI zu unautorisierten Aktionen verleiten.
Drei kritische Schwachstellen wurden mit Schweregraden zwischen 8,8 und 9,6 von 10 dokumentiert. Eine Analyse von Equixly ergab, dass 43 Prozent populärer MCP-Implementierungen Command-Injection-Fehler enthielten.
Quellen: VentureBeat, The Register, VentureBeat
