An einem Dienstagmorgen im Januar 2026 veröffentlichte ein Sicherheitsforscher einen Proof-of-Concept-Exploit auf GitHub. Der Titel war untertrieben: „OpenClaw WebSocket Origin Bypass.“ Die Auswirkungen waren es nicht.
Der Exploit war elegant in seiner Einfachheit. Ein Angreifer konnte eine bösartige Webseite mit ein paar Zeilen JavaScript erstellen. Wenn ein OpenClaw-Nutzer diese Seite besuchte – durch einen Link in einer E-Mail, einer Slack-Nachricht, egal wo – verband sich das JavaScript lautlos mit der lokal laufenden OpenClaw-Instanz und führte beliebige Befehle aus. Keine Authentifizierung nötig. Voller Zugriff auf die Maschine.
CVE-2026-25253 erzielte 8,8 auf der CVSS-Skala. Die Security-Community stufte es als kritisch ein. Das OpenClaw-Team bezeichnete es zunächst als „bekannte Einschränkung der WebSocket-Architektur.“
Der Zeitverlauf
Die erste CVE erschien am 14. Januar. Innerhalb von 48 Stunden zeigten Shodan-Scans über 42.000 öffentlich exponierte OpenClaw-Instanzen. Viele waren Unternehmensdeployments mit Zugriff auf interne Dateisysteme, Datenbanken und in Umgebungsvariablen gespeicherte Zugangsdaten.
Noch bevor der erste Patch veröffentlicht wurde, erschien CVE-2026-26327: ein Authentifizierungs-Bypass. Zwei kritische Schwachstellen in einer Woche, beide remote ausnutzbar.
Dann kam die ClawHub-Situation. 41,7 % der veröffentlichten Skills enthielten Schwachstellen. XDA Developers veröffentlichte „Please Stop Using OpenClaw.“ Er ging viral.
Warum das kein Pech war
Diese Schwachstellen waren nicht zufällig. Sie waren die vorhersehbare Konsequenz spezifischer Architekturentscheidungen, die Jahre zuvor getroffen wurden, als OpenClaw ein Wochenendprojekt war.
Das WebSocket-Vertrauensmodell war das erste Problem. OpenClaws Web-Interface akzeptiert WebSocket-Verbindungen ohne Validierung des Origin-Headers – Cross-Site WebSocket Hijacking, bekannt seit 2012. Der Fix ist simpel, aber er hätte das Plugin-Ökosystem gebrochen. Also wurde es aufgeschoben, bis es zu CVE-2026-25253 wurde.
Das zweite Problem waren OS-Level-Berechtigungen. Kein Sandboxing, kein Capability-Modell. Jeder installierte Skill bekommt implizit Zugriff auf alles.
Das dritte Problem war die JavaScript-Supply-Chain. OpenClaws node_modules enthält über 1.200 Pakete. Die bösartigen Skills nutzten Typosquatting aus.
Was „Secure by Design“ wirklich bedeutet
ZeroClaw wurde mit anderen Grundannahmen gebaut: Sicherheitsanforderungen prägen die Architektur von Anfang an.
Rusts Ownership-System eliminiert ganze Schwachstellenklassen zur Compile-Zeit. Buffer Overflows, Use-after-free, Data Races sind in Rust Compile-Fehler, keine Runtime-Bugs.
Gateway-Pairing ersetzt Passwort-Authentifizierung für Remote-Zugriff. ZeroClaw erfordert kryptografisches Pairing zwischen Client und Gateway. Ein Angreifer ohne den Pairing-Key kann nichts anfangen.
Das Deny-by-Default-Allowlist-Modell bedeutet: jedes Tool, jeder Dateipfad und jeder Netzwerk-Endpunkt muss explizit erlaubt sein. Der Standard ist kein Zugriff.
Die Single-Binary-Architektur eliminiert die Supply-Chain-Angriffsfläche vollständig. Kein node_modules, kein Package-Registry.
Der Wechsel
Zuerst die OpenClaw-Daten sichern – Gesprächsverlauf und Konfiguration liegen in `~/.openclaw/`.
ZeroClaw installieren:
```bash curl -fsSL https://raw.githubusercontent.com/zeroclaw-labs/zeroclaw/main/scripts/bootstrap.sh | bash ```
Dry-Run zuerst:
```bash zeroclaw migrate openclaw --dry-run ```
Dann die eigentliche Migration:
```bash zeroclaw migrate openclaw ```
Der gesamte Prozess dauert typischerweise unter zehn Minuten.
Was die Branche mitnehmen sollte
KI-Agenten sind Infrastruktur, keine Skripte. Sie brauchen dieselbe Sicherheitsstrenge wie Webserver. Sicherheit lässt sich nicht nachträglich auf eine permissive Architektur aufsetzen. Wenn nicht von Anfang an eingebaut, bekommt man 42.000 exponierte Instanzen und eine CVE mit 8,8.
Die Frage ist nicht ob der eigene KI-Agent ins Visier genommen wird. Die Frage ist, ob die Architektur dafür gebaut wurde, das standzuhalten.