Eine kritische Sicherheitslücke in OpenClaw namens CVE-2026-33579 zeigt, warum Sicherheitsexperten seit Wochen vor dem AI Agent warnen.
OpenClaw hat sich seit seiner Einführung im November zu einem Phänomen in der Entwickler-Community entwickelt und erreichte stolze 347.000 Sterne auf GitHub. Das Tool funktioniert wie ein intelligenter Assistent, der die volle Kontrolle über den Computer des Nutzers erhält und mit verschiedenen Anwendungen sowie Plattformen interagiert. Von der Dateiverwaltung über Recherchen bis zum Online-Shopping übernimmt OpenClaw eine beeindruckende Vielfalt an Aufgaben. Um diese Funktionen erfüllen zu können, benötigt das System Zugriff auf zahlreiche Ressourcen: Telegram, Discord, Slack, lokale und vernetzte Dateien, Konten und aktive Sitzungen. Nach der Freigabe dieser Zugriffe agiert OpenClaw genau wie ein Nutzer mit denselben umfangreichen Berechtigungen und Fähigkeiten.
In dieser Woche veröffentlichten die OpenClaw-Entwickler Sicherheits-Patches für drei hochgradige Schwachstellen. Die Schweregrade sind alarmierend: CVE-2026-33579 wird mit einem Wert zwischen 8,1 und 9,8 von maximal 10 Punkten bewertet, abhängig von der verwendeten Messmethodik. Die Konsequenzen sind verheerend. Die Sicherheitslücke ermöglicht es einer Person, die nur die niedrigsten Pairing-Berechtigungen hat, zu Administratorrechten aufzusteigen. Damit erhält der Angreifer vollständige Kontrolle über alle Ressourcen, auf die die OpenClaw-Instanz zugreifen kann.
Forscher des KI-App-Builders Blink beschrieben das praktische Ausmaß der Gefahr deutlich. Ein Angreifer mit den minimalen operator.pairing-Berechtigungen kann unbemerkt Geräte-Pairing-Anfragen genehmigen, die administrator-Berechtigungen fordern. Sobald diese Genehmigung durchläuft, verfügt das angreifende Gerät über vollständige administrative Kontrolle der gesamten OpenClaw-Instanz. Es sind keine zusätzlichen Exploits notwendig und keine weiteren Benutzerinteraktionen erforderlich. Für Organisationen, die OpenClaw als unternehmensweite AI-Agent-Plattform nutzen, bedeutet dies eine Katastrophe. Ein kompromittiertes Gerät mit Administratorrechten kann alle verbundenen Datenquellen auslesen, in der Agent-Umgebung gespeicherte Anmeldedaten unbefugt übertragen, beliebige Befehle ausführen und sich mit anderen Diensten verbinden. Das ist keine gewöhnliche Rechte-Eskalation, sondern eine vollständige Übernahme der gesamten Instanz.
Besonders besorgniserregend ist die Tatsache, dass tausende von Instanzen möglicherweise ohne Wissen der Nutzer kompromittiert wurden. Sicherheitsfachleute warnen schon lange davor, dass ein Sprachmodell, das seiner Natur nach unzuverlässig und anfällig für grundlegende Fehler ist, nicht Zugriff auf so viele sensible Ressourcen haben sollte und erst recht nicht autonom agieren darf. Ein Meta-Manager erklärte bereits früher dieses Jahr, dass er sein Team angewiesen hat, OpenClaw von den Arbeits-Laptops zu verbannen, bei Androhung von Feuerung. Der Grund war einfach: Die Unberechenbarkeit des Tools könnte zu Sicherheitsverletzungen selbst in ansonsten sicheren Umgebungen führen. Andere Manager haben das gleiche Verbot verhängt, und auch Sicherheitsforscher haben ihre Warnungen veröffentlicht.
Ein zeitliches Problem verschärfte die Krise zusätzlich: Die Patches wurden am Sonntag veröffentlicht, erhielten aber erst am Dienstag eine offizielle CVE-Eintragung. Das bedeutet, dass aufmerksame Angreifer einen zweitägigen Vorsprung hatten, um die Lücke auszunutzen, bevor die meisten OpenClaw-Nutzer von der Notwendigkeit eines Updates wussten.
Die Wahrscheinlichkeit aktiver Ausnutzung wird durch eine weitere erschreckende Tatsache erhöht: Blink fand in einer Untersuchung heraus, dass 63 Prozent der 135.000 OpenClaw-Instanzen, die im Internet exponiert sind, ohne Authentifizierung laufen. Damit hatten Angreifer bereits die nötigen Pairing-Berechtigungen, um Administratorkontrolle zu erlangen, ohne irgendwelche Anmeldedaten eingeben zu müssen. Auf diesen Installationen kann praktisch jeder Netzwerkbesucher Pairing-Zugriff anfordern und operator.pairing-Berechtigungen erhalten, ohne Benutzername oder Passwort anzugeben. Das Authentifizierungssystem, das CVE-2026-33579 eigentlich verlangsamen sollte, existiert auf diesen Systemen schlicht nicht.
Die Wurzel der Schwachstelle liegt in der fehlenden Authentifizierung bei Anfragen für administrative Pairing-Berechtigungen. Die Kern-Genehmigungsfunktion in der Datei src/infra/device-pairing.ts überprüft nicht die Sicherheitsberechtigungen der genehmigenden Partei. Solange die Pairing-Anfrage korrekt formatiert ist, wird sie genehmigt.
Jeder, der OpenClaw betreibt, sollte alle Pairing-Genehmigungsereignisse in seinen Aktivitätsprotokollen der letzten Woche sorgfältig überprüfen. Darüber hinaus sollten Nutzer grundlegend überdenken, ob sie OpenClaw überhaupt einsetzen wollen. Die möglichen Effizienzgewinne durch das Tool können schnell verpuffen, wenn ein Angreifer Zugriff auf die vollständigen Netzwerkressourcen erhält.