På en typisk OpenClaw-installasjon ser kjøringen normal ut: brukeren sender en prompt, agenten tar i bruk verktøy, returnerer svar. Det er nettopp denne normaliteten Cyera dokumenterer en angrepsvei gjennom. Sikkerhetsfirmaet kaller den Claw Chain. Fire sårbarheter i KI-agenten OpenClaw lar tilsammen en angriper med kodeeksekvering i sandkassen rømme ut, eskalere rettigheter og plante vedvarende bakdører på vertsmaskinen. Alle fire ble rapportert til vedlikeholderne 22. april og patchet dagen etter.
Inngangsporten er kjedens svakeste ledd: kodekjøring inni OpenShell-sandkassen, som angriperen kan oppnå via prompt-injeksjon, ondsinnede plugins eller kompromittert ekstern input. Derfra utnytter angriperen CVE-2026-44113 (race condition) til å lese filer utenfor mount-rota, eller CVE-2026-44115 (feil i exec-allowlist-analysen) til å kjøre ikke-godkjente kommandoer. Resultatet er lekkasje av API-nøkler, tokens, konfigurasjon og hemmeligheter under påskudd av legitim agentaktivitet.
Neste steg utnytter CVE-2026-44118, en MCP-loopback-feil som lar angriperen manipulere en uverifisert ownership-flagg og eskalere til eier-rettigheter. Da åpnes orkestreringen og konfigurasjonen, og angriperen kan styre hvilke verktøy agenten kaller. Den fjerde sårbarheten, CVE-2026-44112 (CVSS 9,6), er en kritisk race condition i OpenShell-sandkassen som lar angriperen skrive data utenfor sandkassegrensen. Da er bakdøren plantet og persistensen sikret.
«Ved å våpenforme agentens egne privilegier beveger en motstander seg gjennom datatilgang, rettighetsøkning og persistens, og bruker agenten som sine hender i miljøet. Hvert steg ser ut som normal agentatferd for tradisjonelle kontroller, noe som utvider blast radius og gjør deteksjon betydelig vanskeligere.» — Cyera
Cyera påpeker at over 60 000 OpenClaw-instanser ligger offentlig eksponert, og at agentene typisk har bred tilgang til interne systemer, hemmeligheter og kildekode. Hvis Claw Chain utnyttes, kan environment-variabler, autentiseringsmateriale, samtalehistorikk og privilegerte operasjoner alle bli kompromittert i ett angrep.
«Denne kjeden er ikke avhengig av én kritisk svakhet som vilkårlig kommandoeksekvering. Den viser hvordan flere mindre svakheter, blant annet datalekkasje, race conditions og uriktig tilgangskontroll, kan utnyttes parallelt fra ett fotfeste for å oppnå full kompromittering», skriver Cyera.
For norske team som kjører OpenClaw lokalt eller bak Cloudflare Tunnel: oppdater til siste patch nå. For team som vurderer å eksponere agent-runtimes på nett er Claw Chain en påminnelse om at sandkasse-isolasjon ikke er en sikkerhetsgrense alene når agenten selv har bred tilgang til verten.
Hva bør du gjøre?
- Oppdater OpenClaw til patchet versjon umiddelbart. Verifiser at release-noter etter 23. april dekker alle fire CVE-er.
- Sjekk eksponering: kjør
curl http:///api/healthfra utsiden av nettverket. Hvis du får svar, sett opp autentisering eller IP-allowlisting før neste oppstart. - Roter API-nøkler og tokens som har vært tilgjengelig for agenten. Anta lekkasje hvis instansen var åpen før patchen ble installert.