Umgehung von Sandbox-Sperren

Drei OpenClaw-Lücken erlauben Host-Ausbruch via WhatsApp

OpenClaw
Bildquelle: Robert Way/Shutterstock.com

Drei Schwachstellen im KI-Assistenten OpenClaw ermöglichen die vollständige Übernahme des Host-Systems über eine präparierte WhatsApp-Nachricht.

Sicherheitsexperten haben Details zu drei kritischen Sicherheitslücken im persönlichen KI-Assistenten OpenClaw veröffentlicht. Die Schwachstellen wurden in der OpenClaw-Version 2026.6.6 behoben. Laut einem Bericht des Sicherheitsforschers Chinmohan Nayak ermöglichen diese Fehler eine Kette von Angriffen, die durch eine einfache externe Nachricht über den Messenger-Dienst WhatsApp ausgelöst werden können. Im Gegensatz zu älteren, im Mai entdeckten Schwachstellen erfordern diese neuen Fehler keinen vorherigen Zugriff des Angreifers auf das System, um sensible Daten auszulesen, eine dauerhafte Backdoor zu installieren oder Schadcode direkt auf dem Host-System auszuführen.

Anzeige

Umgehung von Sandbox-Sperren über Verzeichnis-Mounts in OpenClaw

Die Schwachstellen teilen sich in zwei Betriebssystem-Befehlsinjektionen sowie einen Fehler bei der Überprüfung von Verzeichnispfaden auf. Die Befehlsinjektionen laufen unter den Kennungen GHSA-hjr6-g723-hmfm und GHSA-9969-8g9h-rxwm und weisen einen hohen CVSS-Wert von 8,8 auf. Der dritte Fehler mit der Kennung GHSA-575v-8hfq-m3mc besitzt einen CVSS-Wert von 8,4 und betrifft eine Path-Traversal-Schwachstelle im Filtermechanismus der Sandbox.

Der Filter blockiert zwar gezielt kritische Ordner wie jene für SSH-Schlüssel, AWS-Anmeldedaten oder GPG-Geheimnisse, versagt jedoch, wenn übergeordnete Verzeichnisse aufgerufen werden. Nayak erklärte dazu:

„getBlockedReasonForSourcePath() prüft, ob sich der Quellpfad unter einem blockierten Pfad befindet. Aber es prüft nie das Gegenteil — ob sich ein blockierter Pfad unter der Quelle befindet (Bypass des übergeordneten Verzeichnisses).“

Anzeige

Chinmohan Nayak, Sicherheitsforscher

Durch das Einbinden übergeordneter Ordner wie /home oder /var lässt sich der Schutzmechanismus vollständig aushebeln. Der Forscher betonte: „Mounte /home in deinen Container und du kannst die SSH-Schlüssel, AWS-Anmeldedaten und GPG-Geheimnisse jedes Benutzers lesen. Mounte /var und du erhältst den Docker-Socket – was einen vollständigen Host-Ausbruch aus der ‚Sandbox‘ bedeutet.“

Technische Gegenmaßnahmen und Konfigurationsänderungen

Die Entwickler von OpenClaw wiesen darauf hin, dass die realen Auswirkungen der Sicherheitslücken stark von der jeweiligen Konfiguration des Betreibers abhängen. Neben dem dringenden Update auf die Version 2026.6.6 werden zusätzliche Absicherungsmaßnahmen für IT-Infrastrukturen empfohlen:

  • Aktivierung des Sandbox-Modus für alle Sitzungen außerhalb der Hauptsitzung
  • Entfernung des Befehls exec aus den Erlaubnislisten für öffentlich erreichbare KI-Agenten
  • Überwachung von Git-Klon-Befehlen, die externe Protokoll-Hilfsprogramme wie ext:: nutzen

Bis zur Installation des Sicherheitsupdates sollten betroffene Funktionen vorübergehend deaktiviert oder der Zugriff auf verifizierte Administratoren beschränkt werden. Zudem wird angeraten, Netzwerkgateways nicht für gegenseitig nicht vertrauenswürdige Benutzer freizugeben.

(red)

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.