Claw Chain: OpenClaw-Schwachstellen bei AI-Agenten absichern

Stand: 16. Mai 2026 - zuletzt aktualisiert

Autor: Mika Schmidt (IT-Security Experte) – Six Eight Consulting, Fokus: Analyse, IAM, Security Engineering.

Claw Chain ist kein einzelner Bug, sondern eine Angriffskette aus vier OpenClaw-Schwachstellen. Sie trifft einen Punkt, der für Unternehmen mit AI-Agenten inzwischen zentral ist: Agenten lesen nicht nur Texte, sondern greifen auf Dateien, Credentials, SaaS-Systeme, MCP-Server und lokale Ausführungsumgebungen zu. Wenn diese Schicht kippt, wird aus Automatisierung ein privilegierter Angriffspfad. [Research]

Hackread berichtet am 16. Mai 2026, dass tausende OpenClaw-Server durch die Claw-Chain-Lücken gefährdet sein können. Cyera nennt für Mai 2026 rund 65.000 öffentlich sichtbare Instanzen in Shodan und rund 180.000 in ZoomEye. Diese Zahlen sollte man nicht blind addieren, weil Scanner-Abdeckungen überlappen können. Für die Priorisierung reicht die Botschaft trotzdem: OpenClaw ist kein Nischenrisiko mehr. [News] [Research]

Was ist Claw Chain?

Cyera beschreibt Claw Chain als vier verkettbare Schwachstellen in OpenClaw. Die Lücken liegen in unterschiedlichen Sicherheitsgrenzen: Sandbox-Dateizugriff, Execution-Validierung, Identitätsprüfung und MCP-/Loopback-Verhalten. Genau diese Verteilung macht den Fall gefährlich. Ein Angreifer muss nicht nur eine einzelne Grenze brechen; er kann mehrere schwache Annahmen miteinander kombinieren. [Research]

Das Muster passt zu modernen Agentenplattformen: Ein Agent hat eine scheinbar legitime Aufgabe, etwa Dateien analysieren, Support-Tickets bearbeiten oder interne Workflows auslösen. Dieselben Rechte können aber gegen die Organisation genutzt werden, wenn Prompt Injection, ein manipuliertes Plugin, ein Supply-Chain-Input oder ein lokaler Prozess den Agentenpfad beeinflusst. [Research]

Die vier CVEs im Überblick

Die folgende Einordnung fasst die Claw-Chain-CVEs defensiv zusammen. Für Patch- und Risikoentscheidungen sollten Teams immer die eigenen OpenClaw-Versionen, Deployment-Topologie und Hersteller-Advisories gegenprüfen.

Bei CVE-2026-44112 lohnt ein genauer Blick auf die Bewertungsquellen: Cyera und die CNA-Angaben in NVD nennen eine kritische Einstufung mit CVSS 9.6. NVD zeigt daneben eine eigene CVSS-3.1-Einschätzung mit 6.3 Medium. Für operative Entscheidungen sollte man nicht nur auf eine Zahl schauen, sondern auf die konkrete Umgebung: Hat OpenClaw Schreibrechte in sensible Pfade, Secrets im Prozesskontext oder direkten Zugriff auf produktive Workflows, ist die Dringlichkeit hoch. [CVE]

Betroffene Versionen und Patch-Stand

Cyera schreibt, dass die vier Befunde den OpenClaw-Maintainern im April 2026 gemeldet und gepatcht wurden. Die öffentliche Fix-Linie wird in der Disclosure-Timeline auf den 23. April 2026 datiert. NVD beschreibt CVE-2026-44112 für OpenClaw-Versionen vor 2026.4.22; Snyk empfiehlt für das npm-Paket ein Upgrade auf 2026.4.22-beta.1 oder höher. [Research] [CVE] [Advisory]

Praktisch bedeutet das: Nicht auf eine einzelne Versionszahl aus einem Drittanbieter-Feed verlassen. Prüfen Sie, ob Ihre Installation alle vier GitHub Security Advisories abdeckt, ob Container-Images tatsächlich neu gebaut wurden und ob selbstverwaltete Nodes oder alte globale npm-Installationen noch auf einem verwundbaren Stand laufen. [Advisory] [Advisory] [Advisory] [Advisory]

Warum AI-Agenten anders bewertet werden müssen

Klassische Server-Schwachstellen betreffen oft einen klar umrissenen Dienst: Webserver, Datenbank, VPN-Gateway. AI-Agenten sitzen dagegen quer zu Systemgrenzen. Sie lesen Dateien, rufen Tools auf, schreiben Antworten, starten Jobs, verarbeiten Prompts aus vielen Quellen und nutzen Tokens, die ursprünglich für legitime Automatisierung gedacht waren.

Deshalb ist Claw Chain mehr als ein OpenClaw-Problem. Der Fall zeigt, dass Agentenplattformen eine eigene Ausführungs- und Identitätsschicht bilden. Wenn Verteidiger nicht unterscheiden können, ob eine Aktion vom Menschen, vom legitimen Agenten oder von einem Angreifer über den Agenten ausgelöst wurde, wird Incident Response deutlich schwerer. [News] [Research]

Sofortmaßnahmen für OpenClaw-Betreiber

Wer OpenClaw produktiv nutzt, sollte Claw Chain wie ein Priority-1-Thema behandeln. Die folgenden Schritte sind bewusst operativ formuliert:

• Patch-Stand klären: OpenClaw auf eine Version nach den April-2026-Fixes aktualisieren und gegen alle vier GHSA-Einträge prüfen.
• Exposition reduzieren: öffentlich erreichbare OpenClaw-Instanzen hinter VPN, Identity-Aware Proxy, Firewall oder mindestens starke Authentisierung setzen.
• Secrets rotieren: API-Keys, Bearer Tokens, SaaS-Tokens und Environment-Variablen behandeln, als könnten sie durch Agentenprozesse offengelegt worden sein.
• Agent-Rechte minimieren: Dateisystempfade, Kommandoausführung, MCP-Server, SaaS-Scopes und Cron-/Gateway-Rechte nach Least Privilege schneiden.
• Plugins und Skills prüfen: Drittanbieter-Erweiterungen, Remote-Tools und Supply-Chain-Inputs inventarisieren und nur explizit freigegebene Komponenten zulassen.
• Logs auswerten: Shell-Kommandos, Sandbox-Fehler, ungewöhnliche Dateioperationen, Owner-/MCP-Änderungen und Secret-Zugriffe rückwirkend prüfen.

# Schnelle lokale Suche nach OpenClaw-Spuren in Repos und Deployment-Dateien
rg -i "openclaw|clawdbot|mcp|OPENCLAW|CLAW" package.json package-lock.json pnpm-lock.yaml yarn.lock Dockerfile docker-compose.yml .github infra k8s charts

# Beispiele für Laufzeit-Inventur, je nach Deployment anpassen
npm list -g openclaw
docker ps | grep -i openclaw
kubectl get pods,deploy,svc -A | grep -i openclaw

Welche Umgebungen zuerst prüfen?

Die höchste Priorität haben OpenClaw-Deployments mit Internetzugang, breiten SaaS-Scopes, Schreibrechten auf interne Dateisysteme, Zugriff auf Kundendaten oder produktiven Shell-/MCP-Rechten. Besonders heikel sind Kundenservice-, IT-Support- und Operations-Agenten, weil sie oft genau die Daten und Berechtigungen besitzen, die Angreifer suchen. [News]

Niedriger, aber nicht harmlos, sind reine Labor- oder Developer-Instanzen. Auch dort liegen häufig Tokens, lokale SSH-Keys, Cloud-Credentials oder Zugriff auf interne Repositories. Eine kompromittierte Developer-Instanz kann zum Einstieg in Supply-Chain- oder Cloud-Umgebungen werden.

Incident Response nach möglicher Ausnutzung

Wenn eine betroffene OpenClaw-Instanz vor dem Patch exponiert war, reicht ein Update allein nicht. Behandeln Sie erreichbare Secrets als potenziell kompromittiert. Prüfen Sie außerdem, ob Konfigurationen verändert, neue Cron-Jobs angelegt, Gateway-Regeln angepasst oder ungewöhnliche Dateioperationen außerhalb normaler Agentenpfade ausgeführt wurden.

Wichtig ist der Blick auf Identität: Welche menschlichen Nutzer, Service-Accounts und Agentenprozesse durften im selben Kontext handeln? Welche Bearer Tokens waren lokal verfügbar? Welche MCP-Server akzeptierten Loopback- oder lokale Verbindungen? Ohne diese Zuordnung bleibt unklar, ob ein Logeintrag legitime Automatisierung oder Missbrauch der Automatisierung zeigt. [Research]

Langfristiges Hardening für Agentenplattformen

Claw Chain ist ein guter Anlass, AI-Agenten in bestehende Sicherheitsprogramme aufzunehmen. Agenten brauchen Asset-Inventar, Berechtigungsreviews, Secret-Governance, Logging, Netzwerksegmentierung und klare Freigabeprozesse für Tools. Das klingt trocken, ist aber genau die Stelle, an der produktive Agenten von produktionsreifen Agenten getrennt werden.

• Agenten als Identitäten modellieren: jeder Agent braucht eindeutige Service-Account-Zuordnung, minimale Rechte und nachvollziehbare Audit-Logs.
• Tool-Aufrufe begrenzen: Shell, Dateisystem, Browser, SaaS-APIs und MCP-Server nur nach Use Case freigeben.
• Prompts und Inputs klassifizieren: externe Tickets, Dateien, Chat-Nachrichten und Webinhalte als untrusted behandeln.
• Secrets aus Agentenpfaden entfernen: kurzlebige Tokens, scoped Credentials und getrennte Umgebungen statt dauerhafter Keys im Prozesskontext.
• Break-glass vorbereiten: Agenten schnell deaktivieren, Sessions beenden, Tokens rotieren und betroffene Integrationen isolieren können.

Kurzantwort für Entscheider

Claw Chain zeigt, warum OpenClaw und andere AI-Agenten nicht wie normale Chat-Anwendungen behandelt werden dürfen. Die vier Schwachstellen CVE-2026-44112, CVE-2026-44113, CVE-2026-44115 und CVE-2026-44118 betreffen genau die Grenzen, an denen Agenten gefährlich werden: Dateisystem, Sandbox, Secrets, Identität und Tool-Ausführung.

Unternehmen sollten OpenClaw sofort patchen, exponierte Instanzen vom Internet nehmen oder streng absichern, Credentials rotieren und die Berechtigungen von AI-Agenten neu bewerten. Der eigentliche Lerneffekt geht über OpenClaw hinaus: Agentische Systeme sind eine neue privilegierte Ausführungsschicht und gehören in Threat Modeling, IAM, Logging und Incident Response.

FAQ