Er is een zeer ernstige beveiligingsfout onthuld in OpenClaw (voorheen Clawdbot en Moltbot genoemd) die het uitvoeren van externe code (RCE) mogelijk zou kunnen maken via een vervaardigde kwaadaardige link.
Het probleem, dat wordt bijgehouden als CVE-2026-25253 (CVSS-score: 8.8), is verholpen in versie 2026.1.29, uitgebracht op 30 januari 2026. Het is beschreven als een kwetsbaarheid voor token-exfiltratie die leidt tot volledige gateway-compromis.
“De Control UI vertrouwt gatewayUrl uit de queryreeks zonder validatie en maakt automatisch verbinding bij het laden, waarbij het opgeslagen gateway-token wordt verzonden in de WebSocket connect-payload”, zei OpenClaw’s maker en onderhouder Peter Steinberger in een advies.
“Door op een vervaardigde link te klikken of een kwaadaardige site te bezoeken, kan het token naar een door de aanvaller bestuurde server worden gestuurd. De aanvaller kan vervolgens verbinding maken met de lokale gateway van het slachtoffer, de configuratie (sandbox, toolbeleid) wijzigen en bevoorrechte acties uitvoeren, waardoor RCE met 1 klik wordt bereikt.”
OpenClaw is een open-source persoonlijke assistent voor autonome kunstmatige intelligentie (AI) die lokaal op gebruikersapparaten draait en kan worden geïntegreerd met een breed scala aan berichtenplatforms. Hoewel het project voor het eerst werd uitgebracht in november 2025, heeft het de afgelopen weken snel aan populariteit gewonnen, waarbij de GitHub-repository op het moment van schrijven 149.000 sterren heeft overschreden.
“OpenClaw is een open agentplatform dat op je computer draait en werkt vanuit de chat-apps die je al gebruikt”, aldus Steinberger. “In tegenstelling tot SaaS-assistenten waarbij uw gegevens op de servers van iemand anders staan, draait OpenClaw waar u maar wilt: laptop, thuislab of VPS. Uw infrastructuur. Uw sleutels. Uw gegevens.”
Mav Levin, oprichter van securityonderzoeker bij depthfirst en aan wie de ontdekking van de tekortkoming wordt gecrediteerd, zei dat het kan worden uitgebuit om een RCE-exploitketen met één klik te creëren die slechts milliseconden duurt nadat een slachtoffer een enkele kwaadaardige webpagina heeft bezocht.
Het probleem is dat klikken op de link naar die webpagina voldoende is om een cross-site WebSocket-kapingaanval te activeren, omdat de server van OpenClaw de oorsprongsheader van WebSocket niet valideert. Dit zorgt ervoor dat de server verzoeken van elke website accepteert, waardoor de localhost-netwerkbeperkingen effectief worden omzeild.
Een kwaadwillende webpagina kan misbruik maken van het probleem door JavaScript aan de clientzijde uit te voeren in de browser van het slachtoffer, dat een authenticatietoken kan ophalen, een WebSocket-verbinding met de server tot stand kan brengen en het gestolen token kan gebruiken om authenticatie te omzeilen en in te loggen op de OpenClaw-instantie van het slachtoffer.
Tot overmaat van ramp kan de aanvaller, door gebruik te maken van de bevoorrechte bereiken operator.admin en operator.approvals van het token, de API gebruiken om de gebruikersbevestiging uit te schakelen door “exec.approvals.set” op “off” in te stellen en de container te ontvluchten die wordt gebruikt om shell-tools uit te voeren door “tools.exec.host” in te stellen op “gateway”.
“Dit dwingt de agent om opdrachten rechtstreeks op de hostmachine uit te voeren, en niet in een Docker-container”, aldus Levin. “Tenslotte voert de aanvaller JavaScript een node.invoke-verzoek uit om willekeurige opdrachtuitvoering te bereiken.”
Op de vraag of OpenClaw’s gebruik van de API om de veiligheidsvoorzieningen te beheren een architecturale beperking vormt, vertelde Levin aan The Hacker News in een antwoord per e-mail: “Ik zou zeggen dat het probleem is dat die verdedigingsmechanismen (sandbox en veiligheidsbeugels) zijn ontworpen om kwaadwillige acties van een LLM tegen te houden, bijvoorbeeld als gevolg van snelle injectie. En gebruikers zouden kunnen denken dat deze verdedigingsmechanismen bescherming zouden bieden tegen deze kwetsbaarheid (of de straal van de explosie zouden beperken), maar dat is niet zo.”
Steinberger merkte in het advies op dat “de kwetsbaarheid kan worden misbruikt, zelfs op instanties die zijn geconfigureerd om alleen naar loopback te luisteren, aangezien de browser van het slachtoffer de uitgaande verbinding initieert.”
“Het heeft invloed op elke Moltbot-implementatie waarbij een gebruiker zich heeft geauthenticeerd bij de Control UI. De aanvaller krijgt toegang op operatorniveau tot de gateway-API, waardoor willekeurige configuratiewijzigingen en code-uitvoering op de gateway-host mogelijk worden gemaakt. De aanval werkt zelfs wanneer de gateway zich bindt aan loopback, omdat de browser van het slachtoffer als brug fungeert.”
