Claw Chain ist kein einzelner Bug, sondern eine Angriffskette aus vier OpenClaw-Schwachstellen. Sie trifft einen Punkt, der für Unternehmen mit AI-Agenten inzwischen zentral ist: Agenten lesen nicht nur Texte, sondern greifen auf Dateien, Credentials, SaaS-Systeme, MCP-Server und lokale Ausführungsumgebungen zu. Wenn diese Schicht kippt, wird aus Automatisierung ein privilegierter Angriffspfad.
Hackread berichtet am 16. Mai 2026, dass tausende OpenClaw-Server durch die Claw-Chain-Lücken gefährdet sein können. Cyera nennt für Mai 2026 rund 65.000 öffentlich sichtbare Instanzen in Shodan und rund 180.000 in ZoomEye. Diese Zahlen sollte man nicht blind addieren, weil Scanner-Abdeckungen überlappen können. Für die Priorisierung reicht die Botschaft trotzdem: OpenClaw ist kein Nischenrisiko mehr.
Exposition laut Cyera
65.000
sichtbare Instanzen in Shodan
Öffentlich auffindbare OpenClaw-Instanzen im Mai 2026.
180.000
sichtbare Instanzen in ZoomEye
Scanner-Zahlen können überlappen, zeigen aber die operative Relevanz.
4
verkettbare CVEs
Sandbox, Dateisystem, Execution-Validierung und MCP-/Identity-Handling.
Was ist Claw Chain?
Cyera beschreibt Claw Chain als vier verkettbare Schwachstellen in OpenClaw. Die Lücken liegen in unterschiedlichen Sicherheitsgrenzen: Sandbox-Dateizugriff, Execution-Validierung, Identitätsprüfung und MCP-/Loopback-Verhalten. Genau diese Verteilung macht den Fall gefährlich. Ein Angreifer muss nicht nur eine einzelne Grenze brechen; er kann mehrere schwache Annahmen miteinander kombinieren.
Das Muster passt zu modernen Agentenplattformen: Ein Agent hat eine scheinbar legitime Aufgabe, etwa Dateien analysieren, Support-Tickets bearbeiten oder interne Workflows auslösen. Dieselben Rechte können aber gegen die Organisation genutzt werden, wenn Prompt Injection, ein manipuliertes Plugin, ein Supply-Chain-Input oder ein lokaler Prozess den Agentenpfad beeinflusst.
Die vier CVEs im Überblick
Die folgende Einordnung fasst die Claw-Chain-CVEs defensiv zusammen. Für Patch-Entscheidungen und Risikobewertungen sollten Teams immer die eigenen OpenClaw-Versionen, Deployment-Topologie und Hersteller-Advisories gegenprüfen.
Claw-Chain-CVEs
| CVE | Klasse | Risiko | Einordnung |
|---|---|---|---|
| CVE-2026-44112 | TOCTOU Filesystem Write Escape | Cyera/CNA: CVSS 9.6 Critical | Schreiboperationen können aus der vorgesehenen OpenShell-Sandbox herausgelenkt werden. |
| CVE-2026-44113 | TOCTOU Filesystem Read Escape | Cyera: CVSS 7.7 High | Race Conditions und Symlink-Wechsel können Lesezugriffe außerhalb vorgesehener Grenzen ermöglichen. |
| CVE-2026-44115 | Execution Allowlist Env-Vars Disclosure | Cyera: CVSS 8.8 High | Unsaubere Trennung zwischen Validierung und Shell-Ausführung kann Environment-Variablen wie Tokens oder API-Keys offenlegen. |
| CVE-2026-44118 | MCP Loopback Privilege Escalation | Cyera: CVSS 7.8 High | Eine manipulierte Owner-Markierung kann zu höheren Rechten im Gateway- und Agent-Kontext führen. |
Bei CVE-2026-44112 lohnt ein genauer Blick auf die Bewertungsquellen: Cyera und die CNA-Angaben in NVD nennen eine kritische Einstufung mit CVSS 9.6. NVD zeigt daneben eine eigene CVSS-3.1-Einschätzung mit 6.3 Medium. Für operative Entscheidungen sollte man nicht nur auf eine Zahl schauen, sondern auf die konkrete Umgebung: Hat OpenClaw Schreibrechte in sensible Pfade, Secrets im Prozesskontext oder direkten Zugriff auf produktive Workflows, ist die Dringlichkeit hoch.
Betroffene Versionen und Patch-Stand
Cyera schreibt, dass die vier Befunde den OpenClaw-Maintainern im April 2026 gemeldet und gepatcht
wurden. Die öffentliche Fix-Linie wird in der Disclosure-Timeline auf den
23. April 2026 datiert. NVD beschreibt CVE-2026-44112 für OpenClaw-Versionen vor
2026.4.22; Snyk empfiehlt für das npm-Paket ein Upgrade auf
2026.4.22-beta.1 oder höher.
Praktisch bedeutet das: Nicht auf eine einzelne Versionszahl aus einem Drittanbieter-Feed verlassen. Prüfen Sie, ob Ihre Installation alle vier GitHub Security Advisories abdeckt, ob Container-Images tatsächlich neu gebaut wurden und ob selbstverwaltete Nodes oder alte globale npm-Installationen noch auf einem verwundbaren Stand laufen.
Warum AI-Agenten anders bewertet werden müssen
Klassische Server-Schwachstellen betreffen oft einen klar umrissenen Dienst: Webserver, Datenbank, VPN-Gateway. AI-Agenten sitzen dagegen quer zu Systemgrenzen. Sie lesen Dateien, rufen Tools auf, schreiben Antworten, starten Jobs, verarbeiten Prompts aus vielen Quellen und nutzen Tokens, die ursprünglich für legitime Automatisierung gedacht waren.
Deshalb ist Claw Chain mehr als ein OpenClaw-Problem. Der Fall zeigt, dass Agentenplattformen eine eigene Ausführungs- und Identitätsschicht bilden. Wenn Verteidiger nicht unterscheiden können, ob eine Aktion vom Menschen, vom legitimen Agenten oder von einem Angreifer über den Agenten ausgelöst wurde, wird Incident Response deutlich schwerer.
Sofortmaßnahmen für OpenClaw-Betreiber
Wer OpenClaw produktiv nutzt, sollte Claw Chain wie ein Priority-1-Thema behandeln. Die folgenden Schritte sind bewusst operativ formuliert:
Sofortmaßnahmen
- Patch-Stand klären: OpenClaw auf eine Version nach den April-2026-Fixes aktualisieren und gegen alle vier GHSA-Einträge prüfen.
- Exposition reduzieren: öffentlich erreichbare OpenClaw-Instanzen hinter VPN, Identity-Aware Proxy, Firewall oder mindestens starke Authentisierung setzen.
- Secrets rotieren: API-Keys, Bearer Tokens, SaaS-Tokens und Environment-Variablen behandeln, als könnten sie durch Agentenprozesse offengelegt worden sein.
- Agent-Rechte minimieren: Dateisystempfade, Kommandoausführung, MCP-Server, SaaS-Scopes und Cron-/Gateway-Rechte nach Least Privilege schneiden.
- Plugins und Skills prüfen: Drittanbieter-Erweiterungen, Remote-Tools und Supply-Chain-Inputs inventarisieren und nur explizit freigegebene Komponenten zulassen.
- Logs auswerten: Shell-Kommandos, Sandbox-Fehler, ungewöhnliche Dateioperationen, Owner-/MCP-Änderungen und Secret-Zugriffe rückwirkend prüfen.
# Schnelle lokale Suche nach OpenClaw-Spuren in Repos und Deployment-Dateien
rg -i "openclaw|clawdbot|mcp|OPENCLAW|CLAW" package.json package-lock.json pnpm-lock.yaml yarn.lock Dockerfile docker-compose.yml .github infra k8s charts# Beispiele für Laufzeit-Inventur, je nach Deployment anpassen
npm list -g openclaw
docker ps | grep -i openclaw
kubectl get pods,deploy,svc -A | grep -i openclawWelche Umgebungen zuerst prüfen?
Die höchste Priorität haben OpenClaw-Deployments mit Internetzugang, breiten SaaS-Scopes, Schreibrechten auf interne Dateisysteme, Zugriff auf Kundendaten oder produktiven Shell-/MCP-Rechten. Besonders heikel sind Kundenservice-, IT-Support- und Operations-Agenten, weil sie oft genau die Daten und Berechtigungen besitzen, die Angreifer suchen.
Niedriger, aber nicht harmlos, sind reine Labor- oder Developer-Instanzen. Auch dort liegen häufig Tokens, lokale SSH-Keys, Cloud-Credentials oder Zugriff auf interne Repositories. Eine kompromittierte Developer-Instanz kann zum Einstieg in Supply-Chain- oder Cloud-Umgebungen werden.
Priorisierung nach Umgebung
| Prio 1 | Prio 2 | Prio 3 |
|---|---|---|
| Internet-exponierte Agenten, produktive Shell-/MCP-Rechte, Zugriff auf Kundendaten, breite SaaS-Scopes. | Developer-Instanzen, interne Agenten mit Repository- oder Cloud-Zugriff, Laborumgebungen mit echten Tokens. | Isolierte Testsysteme ohne echte Credentials. Trotzdem patchen, aber nach den exponierten Rollen. |
Incident Response nach möglicher Ausnutzung
Wenn eine betroffene OpenClaw-Instanz vor dem Patch exponiert war, reicht ein Update allein nicht. Behandeln Sie erreichbare Secrets als potenziell kompromittiert. Prüfen Sie außerdem, ob Konfigurationen verändert, neue Cron-Jobs angelegt, Gateway-Regeln angepasst oder ungewöhnliche Dateioperationen außerhalb normaler Agentenpfade ausgeführt wurden.
Wichtig ist der Blick auf Identität: Welche menschlichen Nutzer, Service-Accounts und Agentenprozesse durften im selben Kontext handeln? Welche Bearer Tokens waren lokal verfügbar? Welche MCP-Server akzeptierten Loopback- oder lokale Verbindungen? Ohne diese Zuordnung bleibt unklar, ob ein Logeintrag legitime Automatisierung oder Missbrauch der Automatisierung zeigt.
Langfristiges Hardening für Agentenplattformen
Claw Chain ist ein guter Anlass, AI-Agenten in bestehende Sicherheitsprogramme aufzunehmen. Agenten brauchen Asset-Inventar, Berechtigungsreviews, Secret-Governance, Logging, Netzwerksegmentierung und klare Freigabeprozesse für Tools. Das klingt trocken, ist aber genau die Stelle, an der produktive Agenten von produktionsreifen Agenten getrennt werden.
Hardening-Baseline für Agentenplattformen
- Agenten als Identitäten modellieren: jeder Agent braucht eindeutige Service-Account-Zuordnung, minimale Rechte und nachvollziehbare Audit-Logs.
- Tool-Aufrufe begrenzen: Shell, Dateisystem, Browser, SaaS-APIs und MCP-Server nur nach Use Case freigeben.
- Prompts und Inputs klassifizieren: externe Tickets, Dateien, Chat-Nachrichten und Webinhalte als untrusted behandeln.
- Secrets aus Agentenpfaden entfernen: kurzlebige Tokens, scoped Credentials und getrennte Umgebungen statt dauerhafter Keys im Prozesskontext.
- Break-glass vorbereiten: Agenten schnell deaktivieren, Sessions beenden, Tokens rotieren und betroffene Integrationen isolieren können.
Kurzantwort für Entscheider
Claw Chain zeigt, warum OpenClaw und andere AI-Agenten nicht wie normale Chat-Anwendungen behandelt werden dürfen. Die vier Schwachstellen CVE-2026-44112, CVE-2026-44113, CVE-2026-44115 und CVE-2026-44118 betreffen genau die Grenzen, an denen Agenten gefährlich werden: Dateisystem, Sandbox, Secrets, Identität und Tool-Ausführung.
Unternehmen sollten OpenClaw sofort patchen, exponierte Instanzen vom Internet nehmen oder streng absichern, Credentials rotieren und die Berechtigungen von AI-Agenten neu bewerten. Der eigentliche Lerneffekt geht über OpenClaw hinaus: Agentische Systeme sind eine neue privilegierte Ausführungsschicht und gehören in Threat Modeling, IAM, Logging und Incident Response.
FAQ
Was ist Claw Chain?
Welche CVEs gehören zu Claw Chain?
Welche OpenClaw-Versionen sind betroffen?
Warum sind AI-Agenten durch solche Lücken besonders riskant?
Was sollten Unternehmen sofort tun?
Quellen und weiterführende Links
- Hackread: Critical 'Claw Chain' Vulnerabilities Put Thousands of OpenClaw AI Servers at RiskHackread / Deeba Ahmed, 16. Mai 2026 - News-Überblick zu Claw Chain, betroffenen Servern und Sofortmaßnahmen
- Cyera Research: Claw Chain - Four Chainable Vulnerabilities in OpenClawCyera Research, 15. Mai 2026 - Primäranalyse mit CVE-IDs, CVSS-Werten, Expositionszahlen und Gegenmaßnahmen
- Cyera Research: Four New OpenClaw Vulnerabilities: When AI Agents Become the Attacker's Execution LayerCyera Research, 15. Mai 2026 - technische Einordnung, Responsible Disclosure Timeline und Patch-Details
- NVD: CVE-2026-44112 DetailNational Vulnerability Database - TOCTOU Filesystem Write Escape in OpenClaw vor 2026.4.22
- Snyk: Time-of-check Time-of-use Race Condition in openclaw - CVE-2026-44112Snyk Vulnerability Database - Upgrade-Empfehlung auf openclaw 2026.4.22-beta.1 oder höher
- GitHub Security Advisory: GHSA-5h3g-6xhh-rg6p - OpenShell FS bridge read escapeGitHub Security Advisory, von Cyera als Patch-Advisory für Claw Chain genannt
- GitHub Security Advisory: GHSA-wppj-c6mr-83jj - OpenShell FS bridge write escapeGitHub Security Advisory, von Cyera als Patch-Advisory für Claw Chain genannt
- GitHub Security Advisory: GHSA-r6xh-pqhr-v4xh - MCP loopback privilege escalationGitHub Security Advisory, von Cyera als Patch-Advisory für Claw Chain genannt
- GitHub Security Advisory: GHSA-x3h8-jrgh-p8jx - Execution allowlist heredoc bypassGitHub Security Advisory, von Cyera als Patch-Advisory für Claw Chain genannt