ClawJacked: Jede Website kann deinen OpenClaw-Agenten kapern

Falsche Website besucht. Kontrolle über deinen KI-Agenten verloren. Genau das ermöglicht ClawJacked — eine kritische Schwachstelle, die Oasis Security entdeckt hat. Jede beliebige Webseite kann damit die volle Kontrolle über eine selbstgehostete OpenClaw-Instanz übernehmen.

Keine Plugins nötig. Keine Nutzerinteraktion. Nur ein offener Browser-Tab.

So funktioniert ClawJacked

OpenClaw betreibt einen Gateway-Dienst auf deinem lokalen Rechner, der eine WebSocket-Schnittstelle auf localhost bereitstellt. Das Problem: Browser blockieren keine Cross-Origin-WebSocket-Verbindungen zu localhost. Anders als bei normalen HTTP-Anfragen greift CORS hier nicht.

Die Angriffskette:

1. Du besuchst eine manipulierte oder kompromittierte Website
2. Verstecktes JavaScript öffnet eine WebSocket-Verbindung zu deinem lokalen OpenClaw Gateway
3. Der Gateway hat kein Rate Limiting für localhost — das Skript knackt dein Passwort mit hunderten Versuchen pro Sekunde per Brute-Force
4. Nach erfolgreicher Anmeldung werden localhost-Verbindungen automatisch als vertrauenswürdige Geräte akzeptiert
5. Der Angreifer hat jetzt vollen Admin-Zugriff auf deinen Agenten

„Ein Entwickler hat OpenClaw auf seinem Laptop laufen... Er surft im Web und landet zufällig auf einer bösartigen Website. Mehr braucht es nicht", schrieb Oasis Security in ihrer Veröffentlichung.

Was ein Angreifer damit anrichten kann

Volle Kontrolle. Im Detail:

• Private Nachrichten lesen — Slack-Verlauf, gespeicherte Konversationen

• API-Keys stehlen — die gesamte Gateway-Konfiguration inklusive LLM-Provider-Zugangsdaten

• Befehle ausführen — Systembefehle auf verbundenen Geräten starten

• Dateien abgreifen — Dokumente über den Agenten vom Rechner exfiltrieren

Für Entwickler mit typischen Integrationen bedeutet ClawJacked: komplette Übernahme des Arbeitsrechners — über einen Browser-Tab.

Der Fix

OpenClaw stufte ClawJacked als hochkritisch ein und lieferte einen Patch in Version 2026.2.25 — weniger als 24 Stunden nach der Veröffentlichung. Wer selbst hostet, sollte sofort updaten.

Oasis Security lobte die Reaktionszeit, besonders für ein ehrenamtlich betriebenes Open-Source-Projekt.

Warum Managed Hosting nicht betroffen ist

ClawJacked hängt von einer Sache ab: einem Gateway auf deinem lokalen Rechner. Die gesamte Angriffskette beginnt mit einer WebSocket-Verbindung zu localhost.

Bei Managed Hosting läuft dein OpenClaw Gateway auf einem entfernten Server — nicht auf deinem Laptop. Es gibt keinen localhost-Gateway, zu dem eine Verbindung aufgebaut werden könnte. Der Angriffsvektor existiert schlicht nicht.

Selbstgehostet heißt: Jeder Browser-Tab ist eine potenzielle Angriffsfläche. Managed heißt: Dein Agent läuft hinter serverseitigen Firewalls und Netzwerkisolierung, komplett getrennt von deiner Surf-Umgebung.