ClawHosters
von Daniel Samer
4 Min. Lesezeit
Jede beliebige Website konnte deinen lokal laufenden OpenClaw Agent übernehmen. Kein Klick, keine Berechtigung, kein Zutun des Nutzers. Genau das hat Oasis Security aufgedeckt: CVE-2026-25253, getauft auf den Namen "ClawJacked." OpenClaw v2026.2.25, veröffentlicht am 26. Februar von 24 Contributors, behebt diese Schwachstelle zusammen mit über 30 weiteren Sicherheitsfixes.
Wer OpenClaw selbst betreibt: Jetzt updaten.
So funktioniert ClawJacked
Der Angriff ist erschreckend einfach. Du besuchst eine bösartige Website. Verstecktes JavaScript öffnet eine WebSocket-Verbindung zu localhost auf dem Gateway-Port deiner OpenClaw-Instanz. Browser blockieren WebSocket-Verbindungen zu localhost nicht so, wie sie reguläre Cross-Origin Requests blockieren. Das Skript probiert dein Gateway-Passwort mit mehreren hundert Versuchen pro Sekunde durch (es gab kein Rate Limiting). Und weil OpenClaw Device Pairings von localhost automatisch akzeptiert hat, wurde der Angreifer als vertrauenswürdiges Gerät registriert.
Was dann? Volle Agent-Übernahme. Shell-Befehle, API Keys, verbundene Dienste wie Slack und Telegram. CSO Online berichtete, dass Jason Soroko von Sectigo den Browser als "durchlässige Membran" bezeichnete, die nicht vertrauenswürdigem JavaScript erlaubt, über WebSockets auf lokale Dienste zuzugreifen.
Das OpenClaw-Team hat innerhalb von 24 Stunden nach der Offenlegung reagiert. Das v2026.2.25 Release erzwingt jetzt Origin-Validierung bei WebSocket-Clients im Browser, drosselt fehlgeschlagene Passwort-Authentifizierungen auf Loopback und blockiert Auto-Approval für nicht gepairte Geräte.
Über ClawJacked hinaus: Die restlichen 30+ Fixes
ClawJacked ist die Schlagzeile. Aber dieses Release geht deutlich weiter. Reaction Events auf Discord, Slack, Signal und Telegram setzen jetzt Channel-Autorisierung durch. Sandbox-Escapes über Symlinks und Hardlinks im Dateisystem sind blockiert. Webhook-Authentifizierung für Nextcloud Talk und LINE lehnt unsignierte Anfragen ab, bevor der Body gelesen wird. Ein OAuth-Cleanup beseitigt ein PKCE-Verifier-Leak. Und die IPv6-SSRF-Protection stuft Multicast-Adressen jetzt als private Ziele ein.
Wer das vorherige Sicherheitsrelease verfolgt hat: Dieses Update setzt die Härtung konsequent fort.
Android und Subagent-Verbesserungen
Android-Nutzer bekommen GitHub-flavored Markdown Rendering, besseres Streaming bei instabiler Verbindung und schnellere Cold Starts. Kleine Änderungen, die man aber sofort merkt.
Die größere Änderung ist der Subagent Dispatch Refactor. Die Logik wurde als explizite Queue/Direct/Fallback State Machine neu gebaut und ersetzt das bisherige implizite Dispatch-System. Bei Multi-Agent-Setups bedeutet das zuverlässigere Kommunikation zwischen Agents. Ein Breaking Change: Heartbeat DM Delivery steht jetzt standardmäßig auf "allow" statt "block." Wer die alte Einstellung braucht, sollte die Config prüfen.
Was ClawHosters-Kunden wissen sollten
Wer einen Managed-Hosting-Plan von ClawHosters nutzt, ist bereits gepatcht. Wir haben v2026.2.25 innerhalb von Stunden nach dem Release auf allen verwalteten Instanzen ausgerollt. Genau dafür gibt es Managed Hosting. Du musst keine CVEs verfolgen und nicht um Mitternacht hektisch updaten.
Für Selbst-Hoster deckt der Security Hardening Guide die Grundlagen ab. Aber wer sich nicht selbst darum kümmern möchte: Dafür sind wir da.
