Claw Chain: Vier verkettete OpenClaw-Lücken bedrohen 245.000 KI-Agent-Server

Worum es geht

Am 15. Mai 2026 hat das Forschungsteam des Datensicherheitsanbieters Cyera vier zuvor unbekannte Schwachstellen in OpenClaw veröffentlicht, einer der am schnellsten verbreiteten Open-Source-Plattformen für autonome KI-Agenten. In Kombination ergeben die vier CVEs einen vollständigen Angriffspfad, den Cyera unter dem Namen Claw Chain zusammenfasst. Laut Suchmaschinen für exponierte Dienste waren zum Zeitpunkt der Veröffentlichung rund 65.000 OpenClaw-Instanzen über Shodan und rund 180.000 über ZoomEye öffentlich erreichbar.

Was die Claw Chain tatsächlich macht

Die vier Schwachstellen sind:

• CVE-2026-44112 (CVSS 9.6 kritisch): Eine TOCTOU-Race-Condition im Sandbox-Backend OpenShell, die Schreibzugriffe außerhalb des erlaubten Mount-Roots erlaubt.
• CVE-2026-44113 (CVSS 7.7 hoch): Dieselbe Race-Condition für Leseoperationen, mit der Angreifer eine geprüfte Datei nach der Prüfung gegen einen Symlink austauschen.
• CVE-2026-44115 (CVSS hoch): Eine Offenlegung von Umgebungsvariablen, weil OpenClaw Variablen einschließlich API-Schlüssel, Tokens und Credentials innerhalb von ungequoteten Heredocs expandiert.
• CVE-2026-44118 (CVSS 7.8): Ein Privilege-Escalation-Pfad, in dem OpenClaw einem von Clients gesetzten Ownership-Flag vertraut und so Loopback-Clients zu Owner-Rechten verhilft.

Verkettet erlauben die Bugs einem Angreifer, die Sandbox zu verlassen, Konfigurationsdateien zu lesen und zu überschreiben, persistente Cron-Aufträge zu legen und API-Schlüssel aus dem Speicher zu ziehen. Cyera schreibt, dass die Fehler im April 2026 koordiniert an die OpenClaw-Maintainer gemeldet und in Version 2026.4.22 behoben wurden.

Warum das wichtig ist

OpenClaw wird in vielen Pilotprojekten als Kern für eigene KI-Agenten eingesetzt. Wer eine ungepatchte Instanz im Netz hat, gibt Angreifern eine Tür in den Maschinen-Identitäts-Stack: die Agenten halten oft Cloud-Tokens, Datenbank-Zugänge und MCP-Connector-Schlüssel im Klartext. The Hacker News und Cybersecurity News ordnen Claw Chain in eine Reihe von Vorfällen ein, bei denen Open-Source-Agenten-Frameworks im Frühjahr 2026 angegriffen wurden, etwa PraisonAI und Microsoft Semantic Kernel. Die Häufung zeigt, dass Agent-Plattformen mit Codeausführung, Dateisystemzugriff und MCP-Anbindung eine eigene Schutzklasse brauchen, nicht nur den klassischen Web-Application-Stack.

Einfach erklärt

Stell dir vor, ein Praktikant hat den Schlüsselbund deiner Firma. Bisher war er in einem Raum eingesperrt, der nur die richtigen Schlüssel ausgibt. Claw Chain ist der Trick, mit dem der Praktikant kurz vor der Türprüfung die Schilder an den Schlüsseln vertauscht. Er bekommt einen Schlüssel ausgehändigt, der wie ein Haustürschlüssel aussieht, aber in Wirklichkeit den Tresorraum öffnet. Genau das passiert in OpenClaw: Eine Datei wird geprüft und im selben Atemzug durch eine andere ersetzt, bevor der Server sie nutzt.

Praktisches Beispiel

Ein mittelständischer Versicherer in Stuttgart betreibt einen OpenClaw-Agenten, der Schadensbescheide klassifiziert und in das interne Aktensystem einsortiert. Über die Claw-Chain-Lücken könnte ein Angreifer den Agenten-Container aus der Sandbox holen, die Datei mit den Cloud-API-Tokens auslesen und einen Cron-Job einrichten, der jede Nacht Schadensdaten zu einem externen Server kopiert. Die IT würde nichts auffälliges sehen, weil der Datenfluss aus Sicht des Netzwerks vom regulären Agenten kommt. Mit dem Update auf OpenClaw 2026.4.22, einer Rotation aller Service-Credentials und einer Prüfung der Cron-Konfiguration ist der Angriffspfad geschlossen.

Einordnung und Grenzen

• Patch verfügbar, aber Update-Disziplin fehlt oft. Viele Teams installieren KI-Agenten als Demo und vergessen sie produktiv. Solange die Version nicht 2026.4.22 oder neuer ist, bleibt das Risiko bestehen.
• Exponierung im Internet bleibt das Hauptproblem. OpenClaw sollte nicht ohne VPN oder Zero-Trust-Proxy aus dem Internet erreichbar sein. Die meisten der 245.000 Treffer dürften Hobby-Projekte oder PoCs sein, aber unter ihnen sind auch Produktivinstanzen.
• Claw Chain ist kein KI-Modell-Angriff. Es handelt sich um klassische Sandbox-, Race-Condition- und Privilege-Escalation-Probleme. Wer denkt, Promptschutz allein reiche, übersieht den Großteil der Agent-Sicherheitsdebatte.

SEO- und GEO-Schlüsselbegriffe

Claw Chain, OpenClaw, Cyera, CVE-2026-44112, CVE-2026-44113, CVE-2026-44115, CVE-2026-44118, AI Agent Security, MCP, Sandbox Escape, KI Sicherheit, Open Source AI Agents, Mai 2026