OpenClaw trotz Fix weiterhin mit Grundsatzrisiko

Die Sicherheitsforscher von Thales haben Sicherheitslücken bei OpenClaw gefunden . Diese Schwachstellen wurden dem OpenClaw-Sicherheitsteam verantwortungsbewusst gemeldet und mit Version 2026.4.23 wurde ein entsprechender Fix bereitgestellt.

Dennoch bleiben zwei Herausforderungen bestehen:

• Die Prompt-Injektion ist ein branchenweit weitgehend ungelöstes Problem.
• Es gibt keinen Standard, der regelt, wie Messaging-Objekte serialisiert werden, bevor sie ein LLM erreichen (im Gegensatz zur Tool-Integration, bei der MCP diese Rolle übernimmt).

Das Forschungsteam von Thales konzentrierte sich auf zwei Hypothesen:

• Welche Angriffsvektoren lassen sich aus Sicht der LLMs verbergen?
• Lassen sie sich auch aus Sicht der Opfer verbergen?

Beispielsweise kann eine versteckte Nachricht am unteren Rand eines Bildes eingebettet werden, wobei ein Farbton verwendet wird, der der ursprünglichen Farbpalette sehr nahekommt, sodass sie ohne sorgfältige Prüfung kaum wahrnehmbar ist. Wenn das Opfer dieses Objekt mit seinem KI-Agenten teilt, könnte das System dann kompromittiert werden? Die Sicherheitsforscher gingen davon aus, dass das Modell durch die Einführung der Prompt-Injektion mittels ungewöhnlicher Objekte weniger auf ähnliche Fälle trainiert sein würde und sich die Erfolgsquote dadurch erhöhen würde. Tatsächlich konnten eine Reihe von Fällen identifiziert werden, in denen dieser Angriff erfolgreich war. (Siehe Abb. 1).

Abb. 1: Diagramm des Ablaufs des Prompt-Injection-Angriffs (Quelle: Thales)

Die Forscher teilten dem OpenClaw-Sicherheitsteam vor der Veröffentlichung diese Erkenntnisse mit. Daraufhin veröffentlichte das Team eine Sicherheitsverbesserung (Version OpenClaw 2026.4.23), die Kontaktnamen, vCard-Felder und Standortbezeichnungen aus dem Inline-Prompt-Text in einen strukturierten Kanal für nicht vertrauenswürdige Metadaten verschiebt. Da sie jedoch ähnliche Muster bei alternativen KI-Assistenten beobachteten, nehmen sie an, dass das zugrunde liegende Risiko nicht spezifisch für OpenClaw ist. Persönliche KI-Assistenten vereinfachen routinemäßig komplexe Nachrichtenobjekte und bieten effektive Vektoren für die Eingabe von Befehlen.

Fazit

Persönliche KI-Assistenten wie OpenClaw steigern zwar die Produktivität, öffnen aber gleichzeitig eine neue Klasse von Angriffen. Dieser Agent ist nicht nur ein Chatbot, sondern ein authentifizierter Ausführender mit potenziellem Zugriff auf Dateien, Shell-Befehle und externe Dienste. Zudem ist es wahrscheinlich, dass er Benutzereingaben vertraut.

Die wichtigsten Erkenntnisse:

• Sicherheitsteams sollten ihre Sandbox-Isolation aktivieren und das Least-Privilege-Prinzip auf die Berechtigungen der Agenten-Tools anwenden.
• Diese Art von Agenten sollte getrennt von sensiblen Daten ausgeführt werden.
• Inhalt und Herkunft von Objekten und Nachrichten sollte stets geprüft werden, bevor sie mit den Agenten geteilt werden.