OpenClaw, ein KI-Agent, der seit November 2025 verfügbar ist, ist beliebt, da er flexible Funktionen und modularen Plugins bietet. Doch mit steigenden Nutzerzahlen kommen auch die ersten Sicherheitslücken einher.
Wo Licht ist, ist auch Schatten: Mit der großen Beliebtheit von OpenClaw kommen auch Sicherheitsrisiken einher.
Seit November 2025 ist „OpenClaw“ verfügbar, ein KI-Agent, der gerade für Aufsehen sorgt. Zum einen, weil er ein Open-Source-Projekt ist und über sogenannte „Skills“ modular an verschiedene Szenarien angepasst werden kann. Und zum anderen, weil schon jetzt zwei Schwachstellen in dem Projekt gefunden wurden, die die Sicherheit seiner Nutzer gefährden.
OpenClaw, früher zeitweise „Clawdbot“ und bis vor Kurzem „Moltbot“ genannt, ist ein Open-Source-Projekt, das die Entwicklung von autonomen KI-Agenten zum Ziel hat, die Aufgaben wie das Verwalten von E-Mails, Kalendern und Terminen automatisiert. Das Projekt wurde im November 2025 gegründet und wurde am 30. Januar 2026 in OpenClaw umbenannt. Es umfasst auch die Plattform „ClawHub“, auf der Nutzer die Skills für OpenClaw-Agenten teilen und suchen können, um deren Effizienz und Funktionalität zu erweitern. Es ist mittlerweile breit bekannt, dass solche Tools, je beliebter sie werden, häufiger angegriffen werden. Derzeit wird auch OpenClaw zunehmend zur Zielscheibe von Cyberkriminellen. Zudem wurden jüngst zwei Sicherheitslücken in dem viralen KI-Agenten entdeckt.
Bei den beiden Sicherheitslücken, die Anfang Februar 2026 entdeckt wurden, handelt es sich um EUVD-2026-5280* / CVE-2026-25253 (CVSS-Score 8.8, EPSS-Score 0.00) und EUVD2026-5363 / CVE-2026-25475 (CVSS-Score 6.5, EPSS-Score 0.29). Erstere ist eine RCE-Schwachstelle (Remote Code Execution), von der alle Versionen vor 2026.1.29 betroffen sind. Die Schwachstelle ermöglicht es einem Angreifer, durch das Ausnutzen eines „gatewayUrl“-Wertes aus einer Abfragezeichenfolge automatisch eine WebSocket-Verbindung herzustellen und einen Token zu senden, ohne dass der Benutzer eine Aufforderung erhält. Dadurch erhält der Angreifer unbefugten Zugriff auf den OpenClaw, sofern er einen Nutzer dazu bringt, auf einen manipulierten Link zu klicken. So wiederum kann der Angreifer den Authentifizierungstoken des Nutzers stehlen und die Kontrolle über den Agenten übernehmen, was zu einem vollständigen Zugriff auf alle lokalen Dateien, API-Schlüssel und andere sensible Informationen führen kann.
Die laut CVSS-Score weniger risikoreiche Schwachstelle EUVD-2026-5363 / CVE-2026-25475 betrifft alle Versionen unter 2026.1.30 und stellt eine Path-Traversal-Sicherheitslücke dar. Sie betrifft die Funktion „isValidMedia()“ im Quellcode-Datei „src/media/parse.ts“ und erlaubt es Angreifern, beliebige Dateien auf dem System zu lesen, indem sie manipulierte „MEDIA-URIs“ verwenden, welche potenziell sensible Daten exfiltrieren können. Beide Schwachstellen wurden mit Version 2026.1.30 geschlossen.
KI-Agenten wie OpenClaw sind aufgrund ihrer weitreichenden Systemrechte und der sensiblen Daten, die sie verarbeiten, ein beliebtes Ziel für Hacker. Sie sind besonders anfällig, weil sie in der Lage sind, auf private Informationen zuzugreifen, nicht vertrauenswürdige Inhalte zu verarbeiten und extern zu kommunizieren.
Um sich vor der Ausnutzung von Sicherheitslücken in KI-Agenten zu schützen, sollten Unternehmen umfassende Sicherheitsrichtlinien implementieren. Dazu gehört die regelmäßige Überprüfung und Aktualisierung der Software, um bekannte Schwachstellen zu schließen. Die Einführung von Intrusion Detection Systemen (IDS) kann helfen, verdächtige Aktivitäten frühzeitig zu erkennen, Nutzer sollten nur die Berechtigungen erhalten, die sie unbedingt brauchen. Darüber hinaus sollten robuste Authentifizierungs- und Zugriffskontrollmechanismen, wie eine Multifaktor-Authentifizierung, eingesetzt werden, um sicherzustellen, dass nur autorisierte Benutzer auf sensible Daten und Funktionen zugreifen können. Schulungen für Mitarbeiter über Sicherheitspraktiken und das Bewusstsein für potenzielle Phishing-Angriffe sind ebenfalls entscheidend, um das Risiko der Kompromittierung von KI-Agenten zu minimieren. Durch diese Maßnahmen können Unternehmen die Sicherheit ihrer KI-Agenten stärken und die Gefahren, die von Cyberkriminellen ausgehen, erheblich reduzieren.
* Hinweis zum EPSS-Score: Das Exploit Prediction Scoring System zeigt die Wahrscheinlichkeit in Prozent an, mit der eine Schwachstelle innerhalb der nächsten 30 Tage ausgenutzt wird. Der entsprechende Score kann sich im Laufe der Zeit verändern. Sofern nicht anders angegeben, beziehen wir uns auf den Stand des EPSS-Scores zum Zeitpunkt der Veröffentlichung des Artikels.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/37/d4375d65bd9e3e6daf606f1c265ad788/0129459549v1.jpeg "Security-Insider war als Sponsor der Hacking Challenge 2026 bei der virtuellen Siegerehrung am 11. Februar dabei. (Bild: Vogel IT-Medien GmbH)")
:quality(80)/p7i.vogel.de/wcms/af/97/af97245494f5ed2d9e7a5e85d635821e/0129347165v2.jpeg "Am 15. September 2025 schlug der Entwickler Daniel Pereira Alarm: Er entdeckte, dass das beliebte npm-Paket „@ctrl/tinycolor“ mit Malware infiziert worden war. (Bild: © Creative_Bringer - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9b/c3/9bc3650365043192ef4509df28ac6859/0129429761v1.jpeg "OpenClaw ging Ende 2025 an den Start und schon mehrere Tausend Nutzer. Doch Malware-verseuchte Skills und Sicherheitslücken riskieren die Sicherheit der User. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/73/f5/73f58fc7aa25fff37737ad39e645f58d/0129416630v1.jpeg "Wo Licht ist, ist auch Schatten: Mit der großen Beliebtheit von OpenClaw kommen auch Sicherheitsrisiken einher. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9c/c1/9cc1a5c571cee9fb15acf60a07b230e1/0129075722v4.jpeg "Der Cyber Resilience Act fordert ab 2027 Security by Design, OTA-Updates, SBOMs und 24-Stunden-Meldungen für vernetzte Produkte. (Bild: © Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/ee/41ee076f4e68cdbba27e9c6bce24cc26/0129203790v1.jpeg "Power Automate geht weit über einfache Workflow-Erstellung hinaus und verbindet strukturierte Prozesstechnik mit Cloud-Integration und konkreten Mechanismen für zuverlässige Abläufe in Microsoft 365 und hybriden Netzwerken. (Bild: © Kateryna - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/00/99/0099614bb0b32ca954f8ba5cd1e230c9/0129346461v2.jpeg "Zeitdruck bei der Entwicklung lässt App-Sicherheit zur Nebensache und mobile Apps so zum gefährlichsten Einfallstor für Cyberangriffe werden. (Bild: © Kiattisak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/e6/8be6646a207e9ac0ff1f1b97a995fedc/0124243505v1.jpeg "Bei einer System-Umstellung wurden die elektronischen Patientenakten der AOK-Versicherten gesperrt. (©Andrea Gaitanides – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/26/4f268168916c24dddd85205cc038dbbc/0129257879v2.jpeg "„Tabellen sind oft Schatzkammern sensibler Daten – von Finanz- und Strategieinformationen bis zu HR- und Kundendaten. Dennoch werden sie nicht wie andere hochriskante Daten behandelt“, warnt Patricia Egger, Head of Security bei Proton. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3d/50/3d50b128eef256952eb27e470befcf30/0129343775v1.jpeg "Autonome KI wird dieses Jahr die Sicherheitslandschaft prägen: Als Produktivitäts-Werkzeug, als Angriffs-Werkzeug und auch als Verteidigungs-Werkzeug. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/db/6f/db6f327d17c1d8e21c7f1f48c10873de/0123551433v1.jpeg "DeepSeek ist praktisch: Man kann sich unkompliziert Fragen beantworten lassen, Bilder generien oder damit komplizierte Matheaufgaben lösen. Doch ist DeepSeek sicher? Und was macht das chinesische Unternehmen mit unseren Daten? (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0f/8f/0f8f5b211d133aa3ef2ae32b274d1296/0129055352v2.jpeg "Model-Confusion-Angriffe können dazu führen, dass Entwickler unwissentlich schadhafte KI-Modelle installieren, was ernsthafte Sicherheitsrisiken zur Folge hat und die Integrität legitimer KI-Anwendungen gefährdet. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3d/50/3d50b128eef256952eb27e470befcf30/0129343775v1.jpeg "Autonome KI wird dieses Jahr die Sicherheitslandschaft prägen: Als Produktivitäts-Werkzeug, als Angriffs-Werkzeug und auch als Verteidigungs-Werkzeug. (Bild: © leszekglasner - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f5/60/f5608f77a50ec07ad70cb9abc8d588b1/0126364909v1.jpeg "KI-Agenten verändern Cyberangriffe grundlegend, sie agieren schneller, skalierbarer und anpassungsfähiger als bisher bekannte Methoden. (Bild: © Antony Weerut - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/fe/9afee73e7c4576e3987560387ed4a8c7/0129326905v1.jpeg "In Google Cloud Looker finden sich acht Sicherheitslücken, eine davon ist kritisch. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f2/fd/f2fd0fdbd69c98d3744922b4a52c9dea/0129347431v2.jpeg "Microsoft Azure bietet mit den drei anfälligen Lösungen die Möglichkeit, serverlose Anwendungen zu erstellen, den Anwendungs-Traffic zu verwalten und hybride sowie Multicloud-Umgebungen zu steuern. Bei erfolgreicher Ausnutzung sind damit zahlreiche sensible Informationen für Angreifer potenziell zugänglich. (Bild: © Syda Productions - stock.adobe.com)")