Das Open-Source-Framework für persönliche KI-Agenten OpenClaw hat am 18. Mai die Version v2026.5.18 veröffentlicht. Zu den wichtigsten Updates zählen ein Android-Client mit Echtzeit-Sprachsitzungen, die auf einer Gateway-Weiterleitung basieren, sowie die vollständige Freigabe der Unterstützung für Multi-Modell-Konfigurationen. Gleichzeitig hat das Datenschutzunternehmen Cyera offengelegt, dass Forschende in OpenClaw vier sicherheitsrelevante, verkettbare Schwachstellen entdeckt haben (zusammen „Krallen-Kette“ genannt).
v2026.5.18: bestätigte Haupt-Updates
Android-Echtzeit-Sprachanwendung: Streaming-Mikrofoneingabe + Echtzeit-Audiowiedergabe + Tool-Ergebnis-Bridging (tool-result bridging) + Live-Untertitel auf dem Bildschirm, sodass Nutzer im Mobilbereich per Sprache aufwecken und lokale Toolchains ausführen können
GPT-5 umfassend freigeschaltet: Aufhebung der Konfigurationssperren für GPT-5.1, GPT-5.2, GPT-5.3 und openai-codex; Entfernen des Zwangs zur erzwungenen Kürzung/Abschneidung bei den finalen Antworten von GPT-5; Aktivierung eines strikten Agentenmodus mit automatischem Schreiben von Logs beim Ausführen von Aktionen
defineToolPlugin: minimalistisches Plugin-Interface: Unterstützt begleitende openclaw-Plugins-Build-, Validate- und Init-Befehlszeilen-Tools, unterstützt stark typisierte Deklarationen und generiert automatisch manifest und Kontext-Fabriken
Memory-core: inkrementelle Start-Synchronisierung: Beim Start werden nur dann inkrementelle Indizes ausgeführt, wenn Dateien fehlen, sich ändern oder die Größe sich verändert hat, wodurch die Dauer des Cold-Starts deutlich verkürzt wird
Krallen-Kette: bestätigte Details zu vier CVEs
Auswirkungen: Alle OpenClaw-Versionen vor dem 23. April 2026 (v2026.4.22) wurden in v2026.4.22 und nachfolgenden Versionen gepatcht.
CVE-2026-44112 (CVSS 9,6, am schwersten): Zeitwettbewerb im OpenShell-Sandboxing (TOCTOU), der es ermöglicht, Systemkonfigurationsdateien zu verändern, Hintertüren einzupflanzen und eine dauerhafte, systemweite Kontrolle zu erreichen
CVE-2026-44115 (CVSS 8,8): Logikfehler, der den Zugriff auf API-Schlüssel, Token, Zertifikate und sensible Daten erlaubt
CVE-2026-44118 (CVSS 7,8): Berechtigungseskalation durch unsachgemäße Sitzungsvalidierung
CVE-2026-44113 (CVSS 7,8): Eine weitere TOCTOU-Schwachstelle, die einen unbefugten Zugriff auf Konfigurationsdateien und Zertifikate ermöglicht
Angriffskette (von Cyera bestätigt): Angreifer können über einen bösartigen Plugin oder manipulierte Prompts einen ersten Fuß in der Tür gewinnen → nutzen Lese-/Command-Execution-Schwachstellen, um Credentials zu sammeln → erhalten durch die Berechtigungseskalations-Schwachstelle administrativen Zugriff → pflanzen eine Hintertür ein, um dauerhaften Zugriff aufzubauen. Cyera stellt fest: „Jeder Schritt sieht für herkömmliche Kontrollmaßnahmen aus wie das normale Verhalten eines Agenten und erhöht die Schwierigkeit der Erkennung erheblich.“
Häufige Fragen
Krallen-Ketten-Schwachstellen sind gepatcht – welche Maßnahmen müssen bestehende Nutzer ergreifen?
Laut Cyera-Bericht betreffen alle vier Schwachstellen Versionen vor v2026.4.22; die Wartungsteams haben die Patches bereits abgeschlossen. Nutzer sollten sicherstellen, dass sie auf v2026.4.22 oder höher aktualisiert haben (einschließlich der neuesten v2026.5.18), um das Risiko durch die genannten Schwachstellen zu beseitigen.
Warum ist OpenClaw im Vergleich zu allgemeiner Software leichter ein Ziel für Angriffe mit hohem Risiko?
OpenClaw benötigt hochvertrauenswürdige Systemzugriffe, darunter Dateisystem, Terminalumgebung, Entwicklertools, Nachrichtenplattformen, Kalender, APIs und andere verbundene Systeme. Justin Fier bestätigt, dass die von Agenten gewährten Zugriffsrechte an sich als vertrauenswürdig gelten; daher kann jeglicher zugehöriger Traffic wie normales Verhalten aussehen. Jeder Schritt in der Angriffskette ist zudem schwer mit herkömmlichen Sicherheitsüberwachungswerkzeugen zu identifizieren.
Welche weiteren zuvor dokumentierten Sicherheitslücken gab es bei OpenClaw?
OpenClaw (ursprünglich Clawdbot, später umbenannt in MoltBot, Veröffentlichung im November 2025) hatte seit der Inbetriebnahme mehrere dokumentierte Schwachstellen, darunter: CVE-2026-25253 (Token-Diebstahl), CVE-2026-24763/25157/25475 (Injection in Befehle und Prompt-Zeichen) sowie eine von Oasis Security im letzten Monat gemeldete Schwachstelle, die es Angreifern ermöglicht, KI-Agenten über eine bösartige Website zu kapern.
