OpenClaw-Sicherheit: CVE-2026-25253, ClawHavoc und wie Sie beides beheben

OpenClaw-Sicherheit: CVE-2026-25253, ClawHavoc und wie Sie beides beheben

Über 135.000 OpenClaw-Instanzen ungeschützt. CVE-2026-25253 ermöglicht Angreifern mit einem Klick Code auf Ihrem Rechner auszuführen. Hier erfahren Sie, was schiefgelaufen ist und wie Sie es beheben.

Von Silverthread Labs··OpenClaw Sicherheitslücken 2026·OpenClaw exponierte Instanzen beheben·ClawHavoc Supply-Chain-Angriff

OpenClaw-Sicherheit: Was Cisco gefunden hat und wie Sie es beheben

Wenn Sie die Schlagzeilen gesehen haben -- 135.000 exponierte Instanzen, eine CVSS-8.8-Schwachstelle für Remote Code Execution, über tausend schädliche Plugins im offiziellen Marketplace -- und verstehen möchten, was tatsächlich kaputt ist und was Sie dagegen tun müssen, dann ist dies die richtige Anleitung.

Das sind keine kleinen Zahlen. Ein offizieller Marketplace mit 1.184 bestätigten schädlichen Skills ist kein Randphänomen -- es ist ein systemisches Versagen. Die CVE ist öffentlich, die Angriffskampagne hat einen Namen (ClawHavoc), und die Gegenmaßnahmen sind konkret. Die Umsetzung dauert etwa 30 Minuten.

die Kurzfassung: was Sie jetzt sofort tun müssen#

Wenn Sie wenig Zeit haben, hier die drei unverzichtbaren Schritte:

Update auf OpenClaw v2026.1.29 oder neuer#

npm install -g openclaw@latest
openclaw --version

Stellen Sie sicher, dass die Version v2026.1.29 oder höher ist, bevor Sie irgendetwas anderes tun. Falls nicht, nutzen Sie die Installation nicht weiter, bis das Update eingespielt ist. CVE-2026-25253 ermöglicht Remote Code Execution mit nur einem Klick auf jeder ungepatchten Instanz.

Gateway-Token und authToken sofort rotieren#

openclaw auth rotate

Damit werden alle zuvor ausgestellten Tokens ungültig. Führen Sie dies auch bei einer frischen Installation durch. Wenn Ihre Instanz für irgendeinen Zeitraum ungepatcht lief, rotieren Sie nach dem Patchen erneut.

Jeden installierten Skill gegen die ClawHavoc-Indikatorliste prüfen#

Öffnen Sie Ihre installierte Skill-Liste im ClawHub-Manager. Gleichen Sie jeden installierten Skill mit den öffentlich veröffentlichten ClawHavoc-Indikatorlisten von Repello AI, eSecurity Planet und Koi Security ab. Jeder Treffer sollte sofort entfernt und als potenzielle Kompromittierung behandelt werden. Den vollständigen Reaktionsablauf finden Sie im ClawHavoc-Abschnitt weiter unten.

CVE-2026-25253: die 1-Klick-Schwachstelle für Remote Code Execution#

Was die Schwachstelle tatsächlich bewirkt#

CVE-2026-25253 ist eine Cross-Site-WebSocket-Hijacking-Schwachstelle im lokalen Gateway von OpenClaw. So funktioniert der Angriff im Klartext:

  1. Sie haben OpenClaw auf Ihrem Rechner laufen
  2. Sie besuchen eine Webseite, die von einem Angreifer kontrolliert wird
  3. JavaScript auf dieser Seite öffnet eine WebSocket-Verbindung zu ws://localhost:18789 (oder welchen Port Sie auch verwenden)
  4. Das Gateway akzeptiert die Verbindung und gibt Ihr Authentifizierungstoken an die Seite preis
  5. Der Angreifer hat nun volle administrative Kontrolle über Ihre OpenClaw-Instanz

Deshalb wird es als "Ein-Klick-Angriff" bezeichnet -- die gesamte Angriffskette wird in dem Moment abgeschlossen, in dem Sie die schädliche Seite laden. Keine Abfrage. Kein Download-Dialog. Nur ein Seitenaufruf.

CVSS-Score: 8.8 (Hoch). Veröffentlicht: 1. Februar 2026. Gepatcht: v2026.1.29, veröffentlicht am 29. Januar 2026 (gemäß NVD / SOCRadar, Februar 2026).

Warum es auch bei Loopback-only-Installationen funktioniert#

Das ist der Punkt, an dem viele stolpern. Viele Nutzer gehen davon aus: "Ich lasse das nur auf localhost laufen, also kann es nicht aus der Ferne ausgenutzt werden." Diese Annahme ist bei dieser Schwachstellenklasse falsch.

Cross-Site-WebSocket-Hijacking funktioniert, indem es die Lücke in der Same-Origin-Policy des Browsers für WebSocket-Verbindungen ausnutzt. Eine Webseite von beliebiger Domain kann einen WebSocket zu localhost öffnen -- der Browser erzwingt die Same-Origin-Beschränkung bei der WebSocket-Verbindungsinitiierung nicht (anders als bei XHR oder Fetch). Der Angriff nutzt den Browser selbst als Angriffsvektor.

Wenn Sie einen Browser auf demselben Rechner wie OpenClaw ausführen -- was bei den meisten Nutzern der Fall ist -- ist Ihre Loopback-only-Installation von jeder besuchten Webseite aus erreichbar.

  1. Der Angreifer sendet Ihnen einen Link (E-Mail, Slack-Nachricht, Social Media)
  2. Sie öffnen ihn in Ihrem Browser
  3. JavaScript auf der Seite ruft new WebSocket('ws://localhost:18789/ws') auf
  4. Das OpenClaw-Gateway akzeptiert die Verbindung und sendet das Auth-Token im Handshake
  5. JavaScript liest das Token und leitet es an den Server des Angreifers weiter
  6. Der Angreifer nutzt das Token, um sich direkt mit Ihrem Gateway zu verbinden -- keine weitere Aktion Ihrerseits erforderlich
  7. Der Angreifer hat nun vollen Zugriff auf alles, was OpenClaw kann: Ihre Dateien lesen, Shell-Befehle ausführen, Ihre MCP-Tools aufrufen, im Agentenspeicher hinterlegte Zugangsdaten exfiltrieren

Der Patch in v2026.1.29 fügt eine Origin-Header-Validierung hinzu. Das Gateway weist nun WebSocket-Verbindungen von Origins außerhalb der erlaubten Liste zurück.

Welche Versionen betroffen und welche gepatcht sind#

  • Betroffen: Alle Versionen vor v2026.1.29
  • Gepatcht: v2026.1.29 und alle nachfolgenden Versionen
  • Version prüfen: openclaw --version

135.000 exponierte Instanzen: das Konfigurationsproblem hinter den Zahlen#

Wie das Standard-Docker-Setup Ihr Gateway öffentlich zugänglich macht#

Das STRIKE-Team von SecurityScorecard fand über 135.000 aus dem Internet erreichbare OpenClaw-Instanzen in 82 Ländern (Stand Februar 2026). Über 12.800 waren direkt per RCE ausnutzbar, und 63 % der beobachteten Deployments liefen mit verwundbaren Konfigurationen (SecurityScorecard, Februar 2026).

Die Ursache liegt im Standard-Docker-Deployment-Skript von OpenClaw. Das Skript docker-setup.sh bindet das OpenClaw-Gateway an 0.0.0.0:18789 -- alle Netzwerkschnittstellen, einschließlich Ihrer öffentlich erreichbaren. Jeder Rechner im Internet kann Ihr Gateway erreichen, wenn Ihr Server eine öffentliche IP hat und keine Firewall-Regel diesen Port blockiert.

Die meisten Nutzer, die dem Standard-Docker-Tutorial gefolgt sind -- insbesondere bei Deployments auf einem VPS oder einer Cloud-VM -- haben Port 18789 offen gelassen, ohne es zu bemerken.

Was Angreifer mit einem unauthentifizierten Gateway tun können#

Mit einem erreichbaren Gateway ohne Authentifizierung (ebenfalls ein häufiger Standard in einigen Versionszweigen) kann ein Angreifer:

  • Ihre installierten Skills auflisten und lesen
  • Aufgaben über die OpenClaw-Agentenschleife ausführen
  • Auf alle MCP-Tools zugreifen, mit denen der Agent verbunden ist (Dateisystem, E-Mail, Datenbanken, Shell)
  • Alles exfiltrieren, was im Agentenspeicher hinterlegt ist

Authentifizierung fügt eine Token-Anforderung hinzu, aber wie CVE-2026-25253 gezeigt hat, waren selbst authentifizierte Gateways vor dem Patch anfällig für Token-Diebstahl per WebSocket-Hijacking. Beide Ebenen müssen abgesichert werden.

So prüfen Sie, ob Ihre Instanz exponiert ist#

Um zu prüfen, ob Ihr Gateway aus dem Internet erreichbar ist, verwenden Sie einen externen Port-Scanner (wie das Self-Check-Tool von Shodan) oder bitten Sie eine vertrauenswürdige Person, eine Verbindung zu http://your-public-ip:18789 herzustellen. Oder führen Sie lokal folgenden Befehl aus:

# Unter Linux/macOS prüfen, an welche Adresse Ihr Gateway gebunden ist
ss -tlnp | grep 18789
# oder
netstat -tlnp | grep 18789

Wenn Sie 0.0.0.0:18789 statt 127.0.0.1:18789 sehen, ist Ihr Gateway an alle Schnittstellen gebunden. Beheben Sie dies in Ihrer OpenClaw-Konfiguration, bevor Sie eine Internetverbindung herstellen.

ClawHavoc: der Supply-Chain-Angriff, der ClawHub vergiftet hat#

Wie 1.184 schädliche Skills im offiziellen Marketplace veröffentlicht wurden#

ClawHub, der offizielle Skill-Marketplace von OpenClaw, wurde von einer koordinierten Supply-Chain-Angriffskampagne getroffen. Das Bedrohungsforschungsteam von Repello AI nannte sie ClawHavoc.

Der Angriff nutzte dieselbe Dynamik aus, die virale Open-Source-Projekte verwundbar macht: schnelles Wachstum, das die Sicherheitsprüfung überholt. ClawHub entwickelte sich innerhalb weniger Wochen von einer kleinen kuratierten Liste zu Tausenden von Community-eingereichten Paketen, und der Prüfungsprozess konnte nicht Schritt halten.

Bis zum 1. März 2026 hatten Forscher 1.184 schädliche Skills bestätigt. Repello AI konnte 335 davon einem einzigen Bedrohungsakteur zuordnen. Stand 16. Februar 2026 waren über 824 unter Variantennamen auffindbar, wobei die zentrale Kampagneninfrastruktur weiterhin aktiv war (eSecurity Planet / PointGuard AI / Koi Security, Februar-März 2026).

Was ClawHavoc-Skills nach der Installation tatsächlich tun#

Der Übertragungsmechanismus ist Social Engineering:

  1. Sie installieren einen scheinbar legitimen Skill (ein Kalender-Tool, eine Websuche-Integration, einen Produktivitätshelfer)
  2. Der Skill zeigt eine gefälschte Fehlermeldung an: "Installation fehlgeschlagen -- führen Sie diesen Diagnosebefehl zur Behebung aus"
  3. Der "Diagnosebefehl" ist ein base64-kodierter Shell-Payload
  4. Durch Dekodierung und Ausführung wird Atomic Stealer (AMOS) heruntergeladen und ausgeführt -- eine auf macOS ausgerichtete Malware

AMOS exfiltriert:

  • Browser-Zugangsdaten und Session-Tokens (Chrome, Safari, Firefox, Brave)
  • Schlüsselbunddaten und SSH-Keys
  • Telegram-Desktop-Sitzungsdaten
  • Kryptowährungs-Wallet-Dateien und Seed-Phrasen

Die primäre Welle zielte auf macOS ab, doch in nachfolgenden Untersuchungen wurden Varianten identifiziert, die auf Linux abzielen.

So identifizieren und entfernen Sie betroffene Skills aus Ihrer Installation#

Öffnen Sie Ihren ClawHub-Skill-Manager und rufen Sie Ihre vollständige installierte Skill-Liste ab. Gleichen Sie diese mit den ClawHavoc-Indikatorlisten von Repello AI und Koi Security ab -- beide pflegen IOC-Register mit betroffenen Paketnamen und Publisher-Hashes.

Bei jedem Treffer entfernen Sie den Skill sofort. Rotieren Sie anschließend alle im Browser gespeicherten Zugangsdaten, insbesondere alles mit Zugang zu Finanzkonten, E-Mail oder Cloud-Diensten. Prüfen Sie ~/.ssh/authorized_keys auf unbekannte Schlüssel, führen Sie das macOS Malware Removal Tool oder Ihr Endpoint-Security-Tool aus und widerrufen Sie alle API-Schlüssel, die in Ihrer OpenClaw-Konfiguration gespeichert sind.

Wenn Sie unsicher sind, ob ein Skill betroffen ist, entfernen Sie ihn trotzdem. Die Neuinstallation eines sauberen Skills dauert Minuten. Die Wiederherstellung nach einem Zugangsdatendiebstahl dauert erheblich länger, und Sie werden nicht unbedingt bemerken, dass es passiert ist.

eine praktische Härtungscheckliste für OpenClaw#

Patch und Token-Rotation#

  • Version v2026.1.29 oder neuer bestätigen: openclaw --version
  • Falls nicht gepatcht, sofort npm install -g openclaw@latest ausführen
  • Alle Auth-Tokens rotieren: openclaw auth rotate
  • Gateway nach Patching und Rotation neu starten

Gateway-Authentifizierung und Origin-Validierung#

  • Authentifizierungspflicht bestätigen: openclaw config get gateway.requireAuth
    • Falls false oder leer: openclaw config set gateway.requireAuth true
  • Erlaubte Origins nur auf localhost setzen: 
    openclaw config set gateway.allowedOrigins "http://localhost:18789,http://127.0.0.1:18789"
  • Gateway neu starten und überprüfen, dass eine Verbindung von einem anderen Origin abgelehnt wird

Netzwerksegmentierung: Heim- und VPS-Installationen#

Für Heimnetzwerk-Installationen:

  • Gateway nur an Loopback binden: openclaw config set gateway.host 127.0.0.1
  • Binding überprüfen: ss -tlnp | grep 18789 -- sollte 127.0.0.1:18789 anzeigen

Für VPS-/Cloud-Installationen:

  • Nur an Loopback binden (wie oben)
  • Firewall-Regel hinzufügen, die externen Zugriff auf Port 18789 blockiert (ufw deny 18789 unter Ubuntu)
  • Falls Fernzugriff benötigt wird, einen SSH-Tunnel verwenden statt den Port freizugeben: ssh -L 18789:localhost:18789 user@your-server

Skill-Prüfung und ClawHub-Vertrauensrichtlinie#

  • Alle installierten Skills gegen aktuelle ClawHavoc-IOC-Listen prüfen
  • Jeden Skill entfernen, der nicht anhand eines öffentlichen Quellcode-Repositorys verifiziert werden kann
  • Persönliche Richtlinie festlegen: nur Skills von Publishern mit verifizierbarer Identität und öffentlichen Source-Repos installieren
  • Keinen "Diagnosebefehl" ausführen, der von einem installierten Skill angezeigt wird

Laufende Patch-Hygiene#

  • OpenClaw-Sicherheitshinweise abonnieren (GitHub-Benachrichtigungen oder die offizielle Sicherheitsmailingliste)
  • npm install -g openclaw@latest ausführen, sobald Sicherheitspatches veröffentlicht werden -- nicht warten
  • Berechtigungen neuer Skills vor dem Update bestehender Skills prüfen. Angriffe nach dem ClawHavoc-Muster traten auch in Skill-Updates auf, nicht nur bei Neuinstallationen.

wenn DIY-Härtung nicht ausreicht#

Diese Checkliste deckt die dokumentierte Angriffsfläche für eine persönliche OpenClaw-Installation ab. Für die meisten Heimanwender, die OpenClaw in einem lokalen Netzwerk betreiben, bringt die Umsetzung Sie in eine wesentlich sicherere Position als die über 135.000 exponierten Instanzen, die SecurityScorecard katalogisiert hat.

Dennoch ist eine Konfigurationsdateiänderung nicht für jedes Deployment die ganze Lösung:

Wenn Ihre Installation auf einem VPS läuft, auf einem Heimserver mit öffentlicher IP oder in einem Büro-Netzwerk, in dem Sie nicht die einzige Person mit Zugriff sind, unterscheidet sich die Angriffsfläche von einer lokalen Heiminstallation. Netzwerksegmentierung, Firewall-Regeln und laufendes Monitoring erfordern mehr als ein paar Konfigurationsänderungen.

Mehrbenutzer-Deployments mit Zugriff auf Unternehmensdaten benötigen rollenbasierte Zugriffskontrolle, Audit-Logging, dokumentierte MCP-Tool-Zugriffsberechtigungen und einen Prozess zur Rotation von Zugangsdaten beim Ausscheiden von Mitarbeitern. Nichts davon ist in den Standardeinstellungen enthalten.

Und jedes Deployment, das HIPAA-, SOC-2- oder DSGVO-Daten verarbeitet, benötigt einen dokumentierten Härtungsumfang, Zugriffskontrollen und einen Audit-Trail -- eine funktionsfähige Installation ist nicht dasselbe wie eine konforme.

Silverthread Labs führt OpenClaw-Härtung als eigenständiges Engagement und als Teil unseres vollständigen Deployment-Service durch. Wir patchen, konfigurieren, prüfen installierte Skills gegen ClawHavoc-Indikatoren und liefern einen schriftlichen Bericht, den Sie für die Compliance-Dokumentation verwenden können. Zum OpenClaw-Deployment-Service oder kontaktieren Sie uns direkt, um Ihr Setup zu besprechen.

FAQ#

Ist meine OpenClaw-Installation gerade kompromittiert?

Wenn Sie eine Version vor v2026.1.29 mit dem Gateway auf 0.0.0.0 gebunden betrieben haben, behandeln Sie es als potenziell kompromittiert. Rotieren Sie alle Zugangsdaten, prüfen Sie auf unbekannte Prozesse oder geplante Aufgaben und befolgen Sie die oben beschriebenen ClawHavoc-Entfernungsschritte -- selbst wenn Sie keinen Ihrer installierten Skill-Namen wiedererkennen.

Ich nutze v2026.1.29, habe aber nie Authentifizierung eingerichtet -- bin ich verwundbar?

Sie sind nicht anfällig für den WebSocket-Token-Diebstahl, wenn Sie gepatcht sind und die Origin-Validierung konfiguriert haben. Aber wenn die Gateway-Authentifizierung deaktiviert ist, kann ein Angreifer, der Ihren Port erreichen kann -- beispielsweise auf einem VPS -- ohne Zugangsdaten mit Ihrer Instanz interagieren. Aktivieren Sie die Authentifizierung und sichern Sie die Bind-Adresse ab.

Betrifft der ClawHavoc-Angriff auch Windows-Nutzer?

Der Atomic-Stealer-Payload zielt auf macOS ab. Varianten, die auf Linux abzielen, wurden später identifiziert. Windows-Nutzer sind nicht grundsätzlich sicher -- verschiedene Payload-Varianten wurden dokumentiert -- prüfen Sie daher Ihre installierten Skills unabhängig davon.

Wie bleibe ich über zukünftige OpenClaw-Schwachstellen informiert?

Beobachten Sie das OpenClaw-GitHub-Repository (github.com/openclaw/openclaw) auf Sicherheitshinweise und aktivieren Sie E-Mail-Benachrichtigungen für Releases. Der Offenlegungsprozess ist in SECURITY.md im Hauptrepository beschrieben. Das STRIKE-Team von SecurityScorecard und der Bedrohungsforschungs-Feed von Repello AI sind ebenfalls empfehlenswert für Frühwarnungen zu Supply-Chain-Angriffen.

Was prüft Silverthread Labs bei einem Härtungs-Engagement?

Versionsverifizierung, Patching, Token-Rotation, Durchsetzung der Gateway-Authentifizierung, Origin-Validierung, Überprüfung der Gateway-Bind-Adresse und Firewall, vollständiges Audit aller installierten Skills gegen ClawHavoc-IOC-Listen, MCP-Server-Berechtigungsprüfung und ein schriftlicher Härtungsbericht. Für Unternehmensinstallationen konfigurieren wir zusätzlich RBAC, Audit-Logging und dokumentieren den Zugriffsumfang für jeden angebundenen MCP-Server.

Zuletzt aktualisiert: March 16, 2026

Zurück zum Blog

[ Weiterlesen ]

Verwandte Artikel

HIPAA-konforme KI-Systeme entwickeln: Was Sie wissen müssen

Ein technischer Leitfaden zu HIPAA-konformer KI: Was ein BAA tatsächlich abdeckt, warum Cloud-KI ePHI-Risiken schafft, was Self-Hosted-Deployment erfordert und wie Sie Ihr aktuelles Setup prüfen.

Lokale KI einrichten: Ollama, Open WebUI & AnythingLLM (2026)

Schritt-fuer-Schritt-Anleitung fuer lokale KI mit Ollama, Open WebUI und AnythingLLM. Hardwareanforderungen, Modellauswahl und wann ein vollstaendig verwaltetes Self-Hosted-Deployment sinnvoll wird.

Self-Hosted AI vs. Cloud-KI: Der ehrliche Vergleich (2026)

Self-Hosted AI punktet bei Datenschutz und langfristigen Kosten. Cloud-KI gewinnt bei Geschwindigkeit und Flexibilität. Hier ist das konkrete Entscheidungsframework -- mit realen Kostenvergleichen, Compliance-Anforderungen und betrieblichen Realitäten -- um den richtigen Weg für Ihren Anwendungsfall zu wählen.

[ So funktioniert es ]

Kostenloses Automatisierungs-Audit

Wir finden die 20 % Ihrer manuellen Arbeit, die Sie am meisten kosten — und zeigen Ihnen genau, wie Sie diese eliminieren.

SCHRITT 1.0
Sagen Sie uns, wo es hakt

Sagen Sie uns, wo es hakt

Ein 30-minütiges Gespräch. Führen Sie uns durch Ihren Arbeitsalltag — wir finden die Engpässe, die Sie längst nicht mehr bemerken.

SCHRITT 2.0
Wir bewerten die Chancen

Wir bewerten die Chancen

Wir bewerten jede Möglichkeit nach Wirkung und Aufwand, damit Sie sehen, wo KI am meisten Zeit und Geld spart.

SCHRITT 3.0
Sie erhalten Ihren Fahrplan

Sie erhalten Ihren Fahrplan

Eine priorisierte Roadmap, die Sie sofort umsetzen können. Mit uns oder auf eigene Faust — sie gehört Ihnen.