ClawHosters ClawHosters
Abo -10% SUB-10
Claws -25% LAUNCH-CLAWS
Sechs neue OpenClaw-Schwachstellen durch KI-gestützten Code-Scanner entdeckt
$ ./blog/news
Neuigkeiten

Sechs neue OpenClaw-Schwachstellen durch KI-gestützten Code-Scanner entdeckt

ClawHosters
ClawHosters von Daniel Samer
3 Min. Lesezeit

Sicherheitsforscher von Endor Labs haben Anfang Februar ihr KI-gestütztes SAST-Tool auf den OpenClaw-Quellcode losgelassen. Ergebnis: sechs Schwachstellen, vier davon mit hoher Schwere. Für alle sechs existierten innerhalb von 24 Stunden funktionierende Proof-of-Concept-Exploits.

Endor Labs hat die technische Analyse am 5. Februar veröffentlicht. Die Patches kamen zwischen dem 14. und 15. Februar in Version v2026.2.14.

Was gefunden wurde

CVE / Advisory Schwere Typ
CVE-2026-26322 HOCH (7.6) Gateway Tool SSRF
CVE-2026-26319 HOCH (7.5) Telnyx Webhook Auth Bypass
GHSA-pg2v-8xwh-qhcc MITTEL (6.5) Urbit Auth SSRF
GHSA-56f2-hvwg-5743 HOCH (7.6) Image Tool SSRF
GHSA-c37p-4qqg-3p76 MITTEL (6.5) Twilio Webhook Bypass
CVE-2026-26329 HOCH (7.1) Path Traversal Upload

Drei der sechs sind SSRF-Bugs. Damit kann ein Angreifer interne Dienste, Cloud-Metadaten-Endpoints oder alles andere erreichen, womit der Server kommunizieren kann. Die Path-Traversal-Lücke (CVE-2026-26329) ist anders gelagert: Ein authentifizierter Angreifer konnte über Playwrights Upload-Handling beliebige Dateien lesen.

Die beiden Webhook-Bypasses verdienen besondere Aufmerksamkeit. Infosecurity Magazine berichtet, dass Telnyx-Webhooks ein Fail-Open-Pattern verwendeten. Eine fehlende oder fehlerhafte Signatur wurde also durchgelassen statt blockiert. Der Twilio-Bypass funktionierte über ein ngrok-Loopback.

Ursachen

Bei allen sechs die gleiche Geschichte: fehlende Input-Validierung, Fail-Open-Auth-Defaults und mehrschichtige Datenflüsse, bei denen niemand die Zwischenschritte geprüft hat. Laut CSO Online konnte das KI-SAST-Tool diese Lücken finden, weil es Datenflüsse über Funktionsgrenzen hinweg verfolgen konnte. Klassische statische Analyse hätte das übersehen.

Was du tun solltest

Wer OpenClaw selbst hostet: Update auf v2026.2.14 oder neuer. Der Image Tool SSRF wurde bereits früher in v2026.2.2 gepatcht. Alles älter als Mitte Februar ist vermutlich für mindestens einige dieser Lücken anfällig.

Wer auf ClawHosters läuft: Alle Instanzen wurden innerhalb weniger Stunden nach Veröffentlichung der Fixes gepatcht. Container-Isolation begrenzt den Wirkungsradius von SSRF-Angriffen zusätzlich, weil jede Instanz nur ihren eigenen Netzwerk-Namespace sieht.

Für einen breiteren Blick auf die Absicherung deiner OpenClaw-Installation lohnt sich der Security Hardening Guide. Und wer automatisiertes Scanning möchte, findet im Safety Scanner Post alles Nötige.

Häufig gestellte Fragen

Ja. Alle sechs wurden zwischen dem 2. und 15. Februar 2026 behoben. Der Großteil landete in v2026.2.14. Wer seine OpenClaw-Instanz auf diese Version oder neuer aktualisiert, ist abgesichert.

Das hängt vom Setup ab. Wenn die OpenClaw-Instanz Cloud-Metadaten-Endpoints erreichen kann (wie AWS 169.254.169.254), könnte ein SSRF-Angriff potentiell IAM-Credentials oder andere Secrets abgreifen. Container-Isolation und Netzwerk-Segmentierung reduzieren dieses Risiko deutlich.

ClawHosters hat alle Patches innerhalb von Stunden nach Release eingespielt. Jede Kundeninstanz läuft in einem eigenen isolierten Container mit eingeschränktem Netzwerkzugang. Das begrenzt die Reichweite von SSRF-Angriffen auch unabhängig vom Patch-Status.
*Zuletzt aktualisiert: Februar 2026*

Quellen

  1. 1 Endor Labs hat die technische Analyse
  2. 2 Infosecurity Magazine berichtet
  3. 3 CSO Online
  4. 4 ClawHosters
  5. 5 Security Hardening Guide
  6. 6 Safety Scanner Post
$ ./related --posts