CVE-2026-27485: OpenClaw stopft Symlink-Lücke im Skill-Packaging
Ein neu publizierter CVE-Eintrag beschreibt ein Symlink-Problem im OpenClaw-Packaging, das beim Bauen von Skills unbeabsichtigt lokale Dateien in Artefakte übernehmen konnte.
- Der CVE-2026-27485-Eintrag betrifft ein lokales Packaging-Skript für OpenClaw-Skills.
- Durch das Folgen von Symlinks konnten .skill-Archive Inhalte außerhalb des Skill-Verzeichnisses enthalten.
- Die Schwachstelle ist als „Low“ eingestuft und setzt lokale Ausführung in einem manuellen Workflow voraus.
- Bereinigt ist das Verhalten ab Version 2026.2.18, die Symlinks beim Packaging ablehnt.
- Für Teams mit Build-Pipelines ist vor allem das Risiko unbeabsichtigter Datenabflüsse über geteilte Artefakte relevant.
Für das Open-Source-Projekt OpenClaw ist mit CVE-2026-27485 ein neuer Sicherheitseintrag veröffentlicht worden, der ein Problem in einem lokalen Packaging-Werkzeug beschreibt. Betroffen war ein Hilfsskript, das beim Erzeugen von „.skill“-Archiven Symlinks im Skill-Verzeichnis folgte. Unter bestimmten Voraussetzungen konnten dadurch Inhalte von Dateien außerhalb des vorgesehenen Skill-Roots in das erzeugte Artefakt geraten – nicht durch einen Remote-Angriff, sondern im Rahmen des Build-Schritts auf der Maschine, die das Paket erstellt.
Technisch liegt der Fall im Umgang mit symbolischen Links: Wird ein Skill-Verzeichnis so präpariert, dass es Symlinks auf Pfade außerhalb des Projektordners enthält, kann ein Packaging-Prozess diese Verweise auflösen und die Zielinhalte in das Archiv übernehmen. Das kann im harmlosen Fall zu fehlerhaften Paketen führen, im ungünstigen Fall aber zu einem Datenabfluss, wenn Artefakte anschließend geteilt, hochgeladen oder in Repositories eingecheckt werden. Gerade in KI-Workflows, in denen Skills häufig als austauschbare Bausteine verteilt werden, kann ein versehentlich „zu großes“ Artefakt sensible Informationen transportieren.
Die Schwachstelle wird als niedrig eingestuft, weil sie keine typische Remote-Angriffsoberfläche eröffnet und lokal ausgeführt werden muss. Es gibt keinen Trigger über normale Gateway- oder Chat-Runtime-Pfade. Der Angriffsvektor setzt vielmehr voraus, dass eine Person oder eine Pipeline das Packaging-Skript auf einem vom Angreifer kontrollierten Skill-Ordner laufen lässt. Der relevante Risikokern ist damit weniger „Systemübernahme“, sondern unbeabsichtigte Offenlegung von lokalen Dateien aus dem Packaging-Umfeld.
Behebungsseitig wurde das Verhalten ab Version 2026.2.18 geändert: Symlinks werden beim Packaging zurückgewiesen, dazu kommen Regressionstests und eine präzisere Packaging-Guidance. Für Entwicklerteams bedeutet das in der Praxis zwei Schritte: Tooling aktualisieren und anschließend Skills neu paketieren, damit bestehende Artefakte nicht weiter im Umlauf sind. In CI/CD-Setups kann es zusätzlich sinnvoll sein, vor dem Packaging einen Symlink-Check und eine Artefakt-Inspektion einzubauen, um Pfadauflösungen außerhalb des erwarteten Roots früh zu erkennen.
Der Fall zeigt, dass Build- und Packaging-Helfer oft genauso sicherheitskritisch sind wie Laufzeitkomponenten. Wo Artefakte als Lieferformat dienen, verschiebt sich ein Teil des Risikos in die Supply-Chain-Ebene: Was in ein Paket gelangt, kann sich später schwer zurückholen. Sichere Defaults – hier das konsequente Verbot von Symlinks im Packaging-Kontext – reduzieren die Wahrscheinlichkeit solcher Nebenwirkungen deutlich, ohne die eigentliche Laufzeitfunktionalität der Skills zu verändern.