360 Smart Agents finden in OpenClaw eine kritische Sicherheitslücke, die 170.000 Instanzen weltweit betrifft

Die Multi-Agenten-Kooperations- und Schwachstellen-Erkennungssystem unter der 360 Digitale Sicherheitsgruppe von China hat in dem KI-Agenten-Tool OpenClaw eine kritisch gefährliche Schwachstelle gefunden, die vom Chinesischen Nationalen Informationssicherheits-Schwachstellenkatalog (CNNVD) bestätigt wurde. Die Schwachstelle betrifft weltweit über 50 Länder und Regionen mit mehr als 170.000 öffentlich zugänglichen Instanzen und ermöglicht es Angreifern, allein mit der Berechtigung von Basis-Mitgliedern in Gruppenchats alle Sicherheitseinstellungen der Plattform-Tools zu umgehen und direkt sensible Serverinformationen zu stehlen.

Kern der Schwachstelle: Strukturelle Schwächen im MEDIA-Protokoll

360-Sicherheitsforscher haben diese Schwachstelle „MEDIA-Protokoll-Prompt-Injection zur Umgehung von Tool-Berechtigungen – Schwachstelle zur Offenlegung lokaler Dateien“ genannt. Ihre Gefährlichkeit rührt von einem grundlegenden Konstruktionsfehler in der OpenClaw-Architektur her.

Das MEDIA-Protokoll läuft in einer Post-Processing-Schicht und befindet sich damit nach den Werkzeugrichtlinien-Kontrollmechanismen der Plattform. Daher kann es sämtliche Tool-Aufrufbeschränkungen vollständig umgehen. Das bedeutet: Selbst wenn Administratoren alle Tool-Aufrufe in OpenClaw ausdrücklich deaktiviert haben, können Angreifer die Schwachstelle weiterhin nutzen – allein mit der Berechtigung von Basis-Mitgliedern im Gruppenchatschat – ohne irgendeine spezielle Autorisierung, um direkt sensible lokale Serverdateien zu stehlen.

Dieser Designfehler „Umgehung der Post-Processing-Schicht“ macht herkömmliche Tool-Whitelist-Schutzstrategien vollständig wirkungslos. Angreifer können automatisierte Tools nutzen, um groß angelegte Scan-Angriffe gegen 170.000 exponierte Instanzen weltweit auszulösen, und dies möglicherweise als Ausgangspunkt für spätere Invasionen verwenden.

Globale Verbreitung von OpenClaw und aktueller Stand der Nutzung in China

OpenClaw wurde im November 2025 von dem österreichischen Ingenieur Peter Steinberger als Open Source veröffentlicht. Es handelt sich um ein kostenloses KI-Agenten-Programm, das Befehle über Instant-Messaging-Anwendungen wie WhatsApp senden kann und damit eigenständig Computeranwendungen, Webbrowser und Smart-Home-Geräte steuert. Hier sind die wichtigsten Kennzahlen zum weltweiten Einsatz:

Chinesische Nutzerzahl weltweit auf Platz eins: Laut Analyse von SecurityScorecard aus New York beträgt die Zahl aktiver Nutzer in China etwa das Doppelte des an zweiter Stelle stehenden US-Bundesstaates

Schnelle Bildung eines kommerziellen Ökosystems: Auf den chinesischen Tech-Plattformen tauchen OpenClaw-Installations- und Konfigurationsservices auf; die Preise liegen zwischen 7 und 100 US-Dollar

Lokalisierte abgeleitete Versionen: DuClaw, QClaw, ArkClaw und andere chinesisch angepasste Varianten sind nacheinander erschienen

Unterstützung durch staatliche Zuschüsse: Mehrere lokale Regierungen haben zugesagt, Unternehmen, die virtuelle Assistenten einsetzen, Zuschüsse zu gewähren

Ausmaß der Sicherheitsbedrohung: Über 50 Länder weltweit sowie mehr als 170.000 öffentlich zugängliche OpenClaw-Instanzen sind von dieser Schwachstelle bedroht

Doppelte Warnung von Organisationen: Sicherheitsbehörden und staatlicher Schwachstellenkatalog reagieren synchron

Bevor 360 diese Schwachstelle offenlegte, hatten bereits zwei chinesische nationale Cybersicherheits-Organisationen im Voraus Warnungen herausgegeben und darauf hingewiesen, dass bei der Bereitstellung von OpenClaw „ein erhebliches Risiko“ besteht, einschließlich der Möglichkeit von Remote Control und Datenabfluss. Zudem veröffentlichten sie detaillierte Sicherheitsempfehlungen, die von einzelnen Nutzern bis hin zu Unternehmen und Cloud-Service-Providern reichen.

Die offizielle Bestätigung durch CNNVD bedeutet, dass diese Sicherheitsbedrohung von einer hinweisenden Bewertung zu einer verifizierten Angriffsfläche mit aktiven Angriffen aufgerüstet wurde. Sicherheitsexperten wiesen darauf hin, dass die betroffenen Instanzen alle öffentlich zugänglich sind und zusätzlich die Niedrigschwelligkeit des Gruppenchats die Durchführung groß angelegter automatisierter Angriffe sehr hoch macht. Daher ist die schnelle Behebung derzeit die dringendste Prioritätsaufgabe.

Häufige Fragen

Warum ist die MEDIA-Protokoll-Schwachstelle in OpenClaw besonders gefährlich?

Das MEDIA-Protokoll läuft in einer Post-Processing-Schicht und befindet sich damit nach den Tool-Strategie- und Kontrollmechanismen der Plattform. Es kann dadurch vollständig sämtliche bereits konfigurierte Tool-Deaktivierungsregeln umgehen. Selbst wenn Administratoren alle Tool-Aufrufe deaktivieren, kann ein Angreifer die Schwachstelle nutzen: Es reicht die Berechtigung von Basis-Mitgliedern im Gruppenchatschat aus, um direkt sensible lokale Serverdateien zu lesen, wodurch herkömmliche Tool-Sicherheitsstrategien vollständig unwirksam werden.

Wie sollten betroffene OpenClaw-Instanzen dringend reagieren?

Bis zur Veröffentlichung offizieller Patches wird empfohlen, die folgenden Sofortmaßnahmen zur Schadensbegrenzung zu ergreifen: Einschränkung, dass OpenClaw-Instanzen direkt aus dem öffentlichen Netzwerk erreichbar sind; vorübergehendes Aussetzen der Funktionen, die mit dem MEDIA-Protokoll zusammenhängen; strikte Identitätsprüfungen für den Zugriff von Gruppenchats-Mitgliedern; fortlaufendes Monitoring auf ungewöhnliche Zugriffe auf sensible Serververzeichnisse.

Welche Auswirkungen hat diese Schwachstelle auf OpenClaw-Umgebungen, die in Unternehmen und Regierungen bereitgestellt werden?

Die offizielle Bestätigung durch CNNVD bedeutet, dass die Schwachstelle eine hoch vertrauenswürdige Angriffs-Kehrtauglichkeit aufweist. Für Unternehmen, die OpenClaw bereits in Produktionsumgebungen bereitgestellt haben (einschließlich der Unternehmen, die von Zuschüssen der chinesischen Lokalregierungen profitieren und OpenClaw einsetzen), muss umgehend ein Sicherheits-Audit durchgeführt werden, um das tatsächliche Ausmaß der Datenexposition im Falle eines Datenlecks zu bewerten – insbesondere in Instanzen, in denen die Gruppenchats-Funktion aktiviert ist und das MEDIA-Protokoll eingeschaltet ist.