Darüber hinaus entdeckte Noma Safety eine neue Sicherheitslücke im Zusammenhang mit OpenClaw: Unternehmensinterne Gruppen auf Discord, Telegram oder WhatsApp. Einer der Gründe, warum OpenClaw für Benutzer so attraktiv ist, ist die Möglichkeit, über mehrere Kanäle mit dem System zu interagieren. Ist OpenClaw jedoch in einen dieser Gruppenkanäle eingebunden, behandelt es Anweisungen von anderen Teilnehmern so, als kämen sie vom eigentlichen Besitzer.
Verschafft sich ein Angreifer Zugang zu einem öffentlichen Discord-Server, auf dem ein OpenClaw-Agent installiert ist, kann er dem Bot Anweisungen geben. Beispielsweise kann er ihn dazu bringen, einen Cron-Job auszuführen und das lokale Dateisystem nach Tokens, Passwörtern, API-Schlüsseln und Krypto-Seed-Phrasen zu durchsuchen.
„Innerhalb von 30 Sekunden bündelt der Agent die sensiblen Daten und sendet sie direkt an einen vom Angreifer kontrollierten Server“, so die Forscher von Noma. Für das Sicherheitsteam des Unternehmens sehe es so aus, als würde der Bot regular funktionieren – die Sicherheitsverletzung werde erst entdeckt, wenn die gestohlenen Anmeldedaten missbraucht werden. „Wenn Social-Media-Groups oder externe Auftragnehmer autonome Agenten wie Clawdbot einsetzen, öffnen sie damit praktisch eine dauerhafte und unüberwachte Hintertür zu den lokalen Rechnern, die mit ihrer Unternehmensinfrastruktur in Verbindung stehen.“
