Vertrauensmissbrauch: Eine Sicherheitslücke in ClawHub ermöglicht es Angreifern, die Rangliste zu manipulieren und die Nummer 1 der Fähigkeiten zu werden.

Silverfort Forscher zeigen, dass Angreifer durch Manipulation des Rankingsystems der Plattform mithilfe bösartiger Fähigkeiten Code auf Tausenden von Rechnern weltweit ausführen könnten.
Silverfort Bild
Ausgewähltes Bild der ClawHub-Schwachstelle (3)
Inhaltsverzeichnis

Diesen Beitrag teilen:

TL; DR

SilverfortDas Sicherheitsforschungsteam von OpenClawHub hat eine kritische Schwachstelle in ClawHub identifiziert, die es Angreifern ermöglicht, ihre Skills als die meistgeladenen in ClawHub zu positionieren. Dadurch können Angreifer Schadcode in scheinbar legitime und vertrauenswürdige Skills einschleusen und so die Grundlage für einen groß angelegten Lieferkettenangriff schaffen. Infolgedessen könnten zahlreiche Nutzer und OpenClaw-Agenten die kompromittierte Skill herunterladen und Schadcode auf ihren Rechnern ausführen, möglicherweise mit erweiterten Berechtigungen. In unserem Proof of Concept (POC) erreichte unsere Skill den ersten Downloadplatz in ihrer Kategorie, was zu folgenden Folgen führte: 3,900 Fertigkeitsausführungen . 6 Tage in über 50 verschiedenen Städten weltweit, darunter mehrere börsennotierte Unternehmen.  

Dieses Problem wurde dem ClawHub-Team am 16. März 2026 verantwortungsvoll gemeldet und konnte seither erfolgreich behoben werden. 

Um das Risiko solcher Angriffsketten zu verringern, hat unser Team Folgendes entwickelt: ClawNet: Ein Sicherheits-Plugin für OpenClaw, das Skills während der Installation mithilfe des LLM des Agenten auf schädliche Muster überprüft, den Benutzer informiert und verdächtige Installationen blockiert.

Was ist ClawHub?

ClawHub ist das öffentliche Skill-Repository von OpenClaw, in dem jeder ein Skill-Paket zur Installation veröffentlichen kann. Ein Skill könnte beispielsweise die Integration Ihres OpenClaw-Agenten mit Google Kalender ermöglichen oder optimierte Websuchen in Ihrem Namen durchführen. Es ist das npm des OpenClaw-Agenten-Ökosystems. Die ClawHub-Plattform wächst rasant, und viele Skills erreichen bereits enorme Downloadzahlen. (Möchten Sie eine Einführung in OpenClaw?) Hier können Sie mehr lesen.).  

Mit der wachsenden Popularität von ClawHub steigt auch dessen Attraktivität für Angreifer. Die Möglichkeit, Fähigkeiten auf einem Marktplatz zu veröffentlichen, den Nutzer aktiv durchsuchen und installieren, schafft ein großes Potenzial für die Lieferkette. 

Ein klassischer Angriffsweg bestünde darin, eine schädliche Anwendung zu veröffentlichen und darauf zu warten, dass Nutzer sie installieren. Doch das Einschleusen von Schadcode in eine harmlos wirkende Anwendung reicht nicht aus – für eine weite Verbreitung muss die Anwendung vertrauenswürdig erscheinen. In ClawHub, wie auch in vielen anderen öffentlichen Registries wie npm oder dem VS Code Marketplace, wird Vertrauen oft aus der Popularität abgeleitet. 

Nutzer laden eher eine Fähigkeit herunter, wenn diese durch „soziale Beweise“ bestätigt wird.

Der ClawHub-Code besteht fast vollständig aus vibe-codiertDieser Ansatz bietet zwar Vorteile, kann aber auch kritische Sicherheitslücken verursachen. Durch die Analyse der Download-Implementierung in ClawHub haben wir eine Schwachstelle identifiziert, die es ermöglicht, downloadbasierte Vertrauenssignale in eine skalierbare Angriffskette umzuwandeln. 

Eine Fähigkeit in ClawHub finden

Angenommen, Sie möchten eine Funktion installieren, mit der Ihr OpenClaw-Agent bei der Terminplanung in Google Kalender helfen kann. Dazu rufen Sie ClawHub auf – entweder über die Weboberfläche oder die Befehlszeile – und suchen nach dem passenden Funktionspaket. In den Suchergebnissen fällt Ihnen als Erstes die Downloadzahl der Funktion auf. Je mehr Downloads eine Funktion hat, desto weiter oben wird sie in den Suchergebnissen angezeigt. 

Sehen Sie die Downloadzahlen für relevante Fähigkeiten basierend auf Ihrer ClawHub-Suche an.

Jedes Kompetenzpaket beinhaltet ein SKILL.MD Diese Datei beschreibt dem Agenten den Zweck der jeweiligen Fähigkeit, ihre Abhängigkeiten und wie und wann sie eingesetzt werden soll. Manche Fähigkeiten enthalten Skripte, die der Agent unter bestimmten Umständen ausführen kann.

SKILL.md-Datei für Google Kalender-Skill

Eintauchen in die Forschung

Die Download-API genauer unter die Lupe nehmen

Der Quellcode von ClawHub ist öffentlich zugänglich (zum Glück für uns). Im Zuge unserer Recherchen stellten wir fest, dass er eine API zum Herunterladen von Fähigkeiten bereitstellt. downloadZip Funktion. Kurz gesagt, bevor ein Download gezählt wird, muss die Anfrage mehrere Validierungsprüfungen durchlaufen: 

  • RatenbegrenzungBei zu vielen Anfragen von derselben IP-Adresse oder demselben Benutzer werden Sie gesperrt.
  • DeduplizierungSelbst wenn Sie das Ratenlimit überschreiten, wird dieselbe IP-Adresse oder derselbe Benutzer, der innerhalb derselben Stunde dieselbe Fähigkeit nutzt, nicht erneut gezählt. 

Auf den ersten Blick wirkt es wie ein solides Verteidigungsdesign, bis man sich die Umsetzung etwas genauer ansieht.

Umgehen des Frontend-API-Endpunkts

ClawHub verwendet konvex als Backend-Framework. Ein Blick in den Quellcode von ClawHub offenbarte zwei interessante, öffentlich zugängliche Endpunkte: 

  • Die URL der Convex-Website: Dient der Frontend-HTTP-API. Aktionen wie das Herunterladen von Fähigkeiten, das Auflisten von Benutzern und die Suche nach Fähigkeiten laufen alle im Hintergrund ab. 
  • Die URL für die konvexe Bereitstellung ist etwas anders. Dieses hier spricht direkt mit dem Konvexe Backend-RPC-Schicht—Keine HTTP-Aktions-Middleware, keine benutzerdefinierte Anfrageverarbeitung. Nur direkte Funktionsaufrufe an das Backend. 

Ein genauerer Blick auf die Convex-Bibliothek

Convex ist ein Backend-Framework, das auf einem typisierten RPC-Modell (Remote Procedure Call) basiert. Im RPC-Modell werden Backend-Funktionen direkt vom Client aus aufgerufen, anstatt HTTP-Anfragen an REST- oder GraphQL-Endpunkte zu senden. Jede definierte Funktion wird automatisch registriert und ist aufrufbar – jede Funktion fungiert quasi als eigener Endpunkt. 

Convex zieht eine klare Trennlinie zwischen öffentlichen und privaten aufrufbaren Funktionen: 

  • Interne Funktionen: internalQuery / internalMutation / internalAction 
    Aus Gründen der Vertraulichkeit. Nur von anderen serverseitigen Convex-Funktionen aufrufbar, für die Außenwelt völlig unsichtbar. 
  • Öffentliche Funktionenquery / mutation / action 
    Die Funktion ist über die Convex-Bereitstellungs-URL zugänglich und kann von jedem aufgerufen werden, der den Funktionsnamen kennt oder errät. Laut Convex-Dokumentation kann jede als öffentlich definierte Funktion über eine HTTP-Anfrage wie folgt aufgerufen werden: 

Diese Funktionen sollten selbstverständlich genutzt werden. Sie Sie müssen die Client-Eingaben sorgfältig prüfen und die Berechtigungen zur Nutzung der Funktion verifizieren, bevor sie Änderungen an der Backend-Datenbank vornehmen. 

Die Schwachstelle entdecken

In der Datei downloads.ts befindet sich eine Funktion namens increment. Der reguläre Download-Ablauf durchläuft hingegen einen stark geschützten Bereich. interne Mutation das Ratenbegrenzung, Deduplizierung und Berechtigungsprüfungen durchsetzt, Diese Funktion überspringt all das komplett.

Keine Authentifizierung. Keine Ratenbegrenzung. Keine Deduplizierung. Keine Berechtigungsprüfungen jeglicher Art. 

Es war eindeutig als ein interne Funktion wurde aber definiert als Öffentlichkeit mutation statt internalMutationDieser eine Fehler macht es als aufrufbaren RPC-Endpunkt auf der Bereitstellungs-URL öffentlich zugänglich. 

Ein Angreifer kann downloads:increment mit einer einzigen curl-Anfrage mit einer beliebigen gültigen skillId aufrufen und so jeden Schutz im Download-Ablauf umgehen. Die Download-Zähler beliebiger Fähigkeiten unbegrenzt erhöhen!  

So sieht es aus:

Die Ermittlung der Deployment-ID und der Skill-ID ist trivial, da beide im Netzwerkverkehr des Clients sichtbar sind und durch die Untersuchung der Antworten des ClawHub-Servers ermittelt werden können. 

Bildung der Angriffskette

Schritt 1: Die bösartige Fertigkeit herstellen

Der Angriff beginnt mit der Erstellung und Veröffentlichung einer Fähigkeit, die völlig legitim erscheint. Für diese Demonstration haben wir eine erstellt. Outlook Graph-Integration skill – ein Hilfsprogramm, das es einem OpenClaw-Agenten ermöglicht, Besprechungen zu planen, die E-Mails eines Benutzers zu verwalten und vieles mehr. 

Eine Fähigkeit entwickeln

Im Skript des Skills ist eine einfache Datenexfiltrationsfunktion verborgen. Wenn der Skill von OpenClaw aufgerufen wird, erfasst er den Benutzernamen und den FQDN des Clients und sendet diese an einen von uns kontrollierten Server. Im Rahmen dieser Untersuchung ist die Funktion bewusst so gestaltet, dass sie nur geringe Auswirkungen hat und keine Schäden verursacht. 

Die Nutzlast war in eine scheinbar legitime „send_telemetry“-Funktion eingebettet, weshalb die Funktion nicht als bösartig erkannt wurde. 

Natürlich ein echter Angreifer würde diese Nutzlast wesentlich komplexer machen; sie können Umgebungsvariablen, lokale Dateipfade, im Speicher abgelegte Token oder alles andere, was innerhalb des Ausführungskontexts der Fähigkeit zugänglich ist, erfassen.

Schritt 2: Aufblähen des Downloadzählers

Hier wird der Angriff aus Sicht der Lieferkette besonders interessant. Wir haben bereits eine schädliche Funktion auf ClawHub, aber eine Funktion ohne Downloads erreicht niemanden. Wer würde schon eine Funktion installieren wollen, die noch nie jemand ausprobiert hat? Sie musste vertrauenswürdig wirken. 

Wir haben also ein einfaches Tool entwickelt, das genau das tut. Indem wir die Sicherheitslücke in der Codebasis ausnutzten, konnten wir die Statistikdatenbank mit Anfragen zum Einfügen eines Statistikereignisses überfluten und so den Downloadzähler unserer Schadsoftware erhöhen. Wie viele Downloads? So viele, wie wir wollten! Keine Ratenbegrenzung, keine Validierung, nichts hielt uns auf.

Mehr als 20,000 Downloads für die schädliche Fähigkeit wurden angefordert.

Innerhalb weniger Minuten stieg der Downloadzähler für unsere Anwendung deutlich an –ausreichend, um die Fähigkeit in ihrer Kategorie an die Spitze der Suchergebnisse zu bringen.

Ausnutzen des Ranglistensystems, um den ersten Platz in unserer Fähigkeitskategorie zu erreichen

Schritt 3: Die Landung beobachten

Nach dem Anstieg der Downloads begannen die Nutzer, die Funktion zu entdecken und zu installieren. Das Ergebnis: Etwa 3,900 Fertigkeitsausführungen . 6 Tage über 50 verschiedene Städte weltweit, darunter mehrere börsennotierte Unternehmen. 

Wo unsere schädliche Technologie weltweit installiert wurde

Bei all diesen Ausführungen wurde eine HTTP-Anfrage an unseren Server gesendet, die den Domänennamen und den Benutzernamen des Benutzers als Teil der legitimen Skill-Ausführung enthielt. 

Dies verdeutlicht die enorme Wirkung solcher Angriffsketten. Der Skill wird im Auftrag des hochprivilegierten Benutzers ausgeführt, der den OpenClaw-Agenten betreibt. In diesem Fall haben wir lediglich Benutzernamen und Domäne erfasst, ein Angreifer könnte diese Informationen jedoch für weitaus schädlichere Aktionen ausnutzen.

OpenClaw tappt in dieselbe Falle.

Wenn menschliche Nutzer schon in die Download-Falle tappen können, was passiert dann erst, wenn wir die Entscheidung an unseren OpenClaw-Agenten delegieren?

OpenClaw ist möglicherweise nicht in der Lage, eine bessere Entscheidung zu treffen als ein Mensch.

Wenn der Agent aufgefordert wird, die beste Fähigkeit für eine bestimmte Anforderung zu finden, führt er über die ClawHub-Befehlszeilenschnittstelle (CLI) eine Suche in ClawHub durch und wählt eine Fähigkeit aus den Ergebnissen anhand von Name, Slug, Zusammenfassung und Bewertung aus. Obwohl die endgültige Entscheidung, welche Fähigkeit installiert wird, vom LLM getroffen wird, wird die Bewertung der Fähigkeit – die diese Entscheidung laut Codebasis beeinflusst – von der Inhaltssemantik und, nun ja … der Anzahl der Downloads beeinflusst. 

Wir haben unseren OpenClaw-Agenten also gebeten, eine Funktion zur Verwaltung von E-Mail- und Kalenderaufgaben auszuwählen, und wenig überraschend wählte er die von uns veröffentlichte schädliche Funktion. In seiner Erklärung gab er an, diese Funktion aufgrund ihrer höchsten Bewertung (bedingt durch die hohe Anzahl an Downloads) ausgewählt zu haben. 

Wir fragten Molty, welche Fähigkeit installiert werden solle, und sahen, dass es die von uns erstellte schädliche Fähigkeit vorschlug.

Schutz Ihres OpenClaw-Agenten vor schädlichen Fähigkeiten

Da OpenClaw die autonome Installation und Ausführung von Skills ermöglicht, ist es unerlässlich, sicherzustellen, dass die installierten Skills sicher und vertrauenswürdig sind – wie wir bereits gesehen haben. 

Um das Risiko zu minimieren, empfehlen wir die Installation unseres ClawNet-Sicherheits-Plugin für OpenClawClawNet nutzt die OpenClaw-Agentenschleife, um die Tool-Aufrufe abzufangen, die für die Installation von Skills erforderlich sind. Bevor ein Skill installiert wird, fordert ClawNet den LLM des Agenten auf, den Inhalt des Skills zu überprüfen und potenziell schädliche Muster zu kennzeichnen. Anschließend übermittelt es die Ergebnisse an den Benutzer und entscheidet, ob die Installation blockiert oder zugelassen werden soll. 

Unsere Entscheidung, dies als Plugin eher als ein Geschicklichkeit Dies ist eine Sicherheitsentscheidung. Eine Fähigkeit kann vom LLM übersprungen oder ignoriert werden – sei es aufgrund fehlerhafter Schlussfolgerungen oder weil das Modell den vorgesehenen Ablauf der Fähigkeitsverarbeitung nicht zuverlässig befolgt. Ein Plugin hingegen integriert sich direkt in die OpenClaw-Agentenschleife und fängt Versuche zur Fähigkeitsinstallation zur Laufzeit ab, wodurch sichergestellt wird, dass die Prüfung unabhängig vom Verhalten des LLM ausgeführt wird. 

Was können wir daraus lernen?

Vibe-Coding ist keine Sicherheitsstrategie

Vibe-Coding ermöglicht zwar eine schnelle Entwicklung, ersetzt aber keine strukturierten Sicherheitsmaßnahmen. Künstliche Intelligenz kann zwar bemerkenswerte Systeme hervorbringen, bleibt aber fehleranfällig. Menschliche Aufsicht ist während der Entwicklung weiterhin unerlässlich, da selbst kleine Implementierungsdetails erhebliche Sicherheitsauswirkungen haben können.

Downloadzahlen allein reichen nicht als Vertrauenssignal aus.

Auch wenn es verlockend sein mag, etwas zu vertrauen, nur weil es andere tun, ist Popularität keine Garantie für Sicherheit. Downloadzahlen sagen nichts über Codeintegrität, Prüfprozesse oder sicheres Verhalten aus. Werden solche Signale als Entscheidungsgrundlage genutzt – insbesondere von automatisierten Systemen –, können sie zu einem Einfallstor für Manipulationen werden. Stattdessen sollten Nutzer/Agenten die Herkunft jeder Fähigkeit überprüfen und einen speziellen Fähigkeitsscanner wie unseren verwenden. ClawNet-Plugin für OpenClaw, um sicherzustellen, dass die Dateien vor der Installation keine verdächtigen Muster enthalten.

Die RPC-Entwicklung erfordert explizite Sicherheitsgrenzen

Im Gegensatz zu REST-APIs (bei denen Routen, Middleware und Validierungsschichten typischerweise durch das Design getrennt sind), sind RPC-basierte Frameworks wie z. B. konvex Entwickler können so aufrufbare Funktionen direkt aus dem Backend-Code bereitstellen. Dies kann das Risiko unzureichender Autorisierungsprüfungen oder Eingabevalidierungen erhöhen. Bewährte Verfahren von Convex diesen Punkt ausdrücklich betonen und empfehlen, „Für alle öffentlichen Veranstaltungen sollte eine Form der Zugangskontrolle eingeführt werden.“RPC-Architekturen sind zwar nicht standardmäßig unsicher, erfordern aber eine strenge Zugriffskontrolle, sorgfältige Validierung und die Einhaltung dokumentierter Best Practices.

Ihr OpenClaw-Agent kann zu einem Sicherheitsrisiko werden

Die Stärke von OpenClaw liegt in seiner Autonomie – der Fähigkeit, Skills ohne menschliches Eingreifen zu suchen, zu bewerten und zu installieren. Diese Autonomie birgt jedoch auch Risiken. Ohne durchgesetzte Verifizierungs- und Inspektionsmechanismen kann die autonome Entscheidungsfindung unserer Agenten die Angriffsfläche unbeabsichtigt vergrößern.

KI-Agenten bilden eine eigene Identitätsklasse.

KI-Agenten bilden eine eigene Identitätsklasse, die das gleiche Maß an … erfordert. Entdeckung, Echtzeitsteuerung und Haltungsverfestigung Als traditionelle menschliche Benutzer und nicht-menschliche Identitäten. Jeder Agent muss einem menschlichen Besitzer zugeordnet werden, und Zugriffsrichtlinien müssen definiert und zugeordnet werden. Das Ergebnis ist, dass Agenten nur das tun können, wozu sie explizit berechtigt sind. Keine dauerhaften Berechtigungen. Kein Umgehen.

Offenlegung und Behebung

Die Sicherheitslücke wurde dem OpenClaw-Sicherheitsteam gemeldet, einschließlich ihrer Auswirkungen und technischen Details. Das Team reagierte schnell und arbeitete während des gesamten Prozesses eng mit dem Team zusammen, sodass das Problem behoben werden konnte. unter 24 Stunden und die Behebung des Fehlers in der Produktionsumgebung bereitzustellen (siehe Commit von Peter Steinberger, dem leitenden OpenClaw-Entwickler, werden auf dieser Seite erläutert). 

Wir haben Identity Security auf ein neues Level gehoben.

Entdecken Sie, was möglich ist.

Vereinbaren Sie eine Demo und erleben Sie die Silverfort Identity-Security-Plattform in Aktion.

Demo anfragen
neuer Held (1)

Silverfort übernimmt Fabrix Security

Bereitstellung autonomer Identitätssicherheit zur Laufzeit

Pionierarbeit bei der Entwicklung der ersten autonomen Laufzeit-Zugriffskontroll-Engine, die alle menschlichen, maschinellen und agentenbasierten Identitäten mithilfe von tiefgreifendem Kontext und der Geschwindigkeit von KI schützen soll.

Holen Sie sich die ganze Geschichte