OpenClaw: KI-Assistent im Visier großangelegter Schadsoftware-Attacke

Eine massive Lieferketten-Attacke hat das Ökosystem des beliebten KI-Assistenten OpenClaw infiltriert. Sicherheitsforscher entdeckten im Februar 2026 Hunderte bösartige Plugins im offiziellen ClawHub-Marktplatz. Diese sogenannten „Skills“ zielten darauf ab, Malware zu installieren und Nutzerdaten zu stehlen – ein alarmierender Angriffsvektor für die boomende Welt der KI-Agenten.

Die Dimension des Angriffs ist enorm: Erste Audits zeigen, dass über 10 Prozent aller Skills im ClawHub-Repository schädlich waren. Eine koordinierte Kampagne mit dem Namen „ClawHavoc“ war für den Großteil verantwortlich. Allein in dieser Operation identifizierte ein Sicherheitsunternehmen 335 bösartige Skills. Der Vorfall sendet eine deutliche Warnung zur Sicherheitslage schnell wachsender KI-Plattformen und den Risiken ungeprüfter Community-Marktplätze.

Das Angriffsmuster: Social Engineering statt Code-Exploits

Anders als traditionelle Cyberangriffe, die Software-Schwachstellen ausnutzen, setzte diese Kampagne vor allem auf Social Engineering. Die Täter tarnten ihre schädlichen Skills als legitime und nützliche Tools – etwa Kryptowährungs-Bots, YouTube-Hilfen oder Produktivitäts-Erweiterungen. Der Erfolg des Angriffs beruhte auf der Manipulation des Nutzers, nicht des Programmcodes.

Der Dreh- und Angelpunkt war die Dokumentationsdatei der Skills, typischerweise SKILL.md. Darin wurden Nutzer angewiesen, „erforderliche“ Voraussetzungen zu installieren. Diese Anleitungen führten dazu, dass Nutzer scheinbar harmlose Befehle ausführten, die in Wirklichkeit Malware herunterluden und installierten. Für macOS-Nutzer bedeutete dies oft das Ausführen verschleierter Code-Schnipsel, die den „Atomic macOS Stealer“ (AMOS) holten – eine aggressive Malware zum Ausspähen von Passwörtern, Browserdaten und Krypto-Wallets. Windows-Nutzer wurden auf passwortgeschützte ZIP-Archive mit Keyloggern geleitet, eine Methode zur Umgehung automatischer Virenscans.

Wer sich gegen genau solche Supply‑Chain‑Angriffe und Social‑Engineering‑Tricks schützen will, findet im kostenlosen E‑Book „Cyber Security Awareness Trends“ praxisnahe Schutzmaßnahmen, Checklisten für Unternehmen und einen Überblick zu neuen KI‑Regeln, die jetzt relevant werden. Der Leitfaden erklärt, wie IT‑Verantwortliche ohne große Budgets Grundschutz, Mitarbeiterschulungen und Kontrollen für KI‑Skills umsetzen. Jetzt kostenloses Cyber-Security-E-Book herunterladen

Systemisches Problem: Schadcode und „undichte“ Skills

Weitere Untersuchungen anderer Cybersicherheitsfirmen zeigten, dass das Problem über die ClawHavoc-Kampagne hinausreicht. Eine separate Analyse der fast 4.000 Skills in ClawHub ergab, dass etwa 7,1 Prozent „undicht“ konstruiert waren. Dabei handelte es sich nicht zwingend um Malware, sondern um beliebte, funktionale Skills, die den KI-Assistenten anwiesen, sensible Daten – wie API-Schlüssel, Passwörter oder sogar Kreditkartendaten – auf unsichere Weise zu verarbeiten.

Diese weitverbreitete Unsicherheit zwingt die KI, Geheimnisse im Klartext zu verarbeiten. Dadurch werden sie in Protokollen sichtbar und potenziell für Drittanbieter von großen Sprachmodellen (LLM) wie OpenAI oder Anthropic einsehbar. Ein besonders alarmierendes Beispiel war ein Skill namens „buy-anything“, der Nutzer nach ihren Kreditkartendetails fragte, um Einkäufe zu tätigen, und diese rohen Finanzdaten dann an den LLM-Anbieter sendete. Forscher demonstrierten zudem, wie indirekte Prompt-Injection genutzt werden kann, um einen Backdoor-Zugang zum Rechner eines Nutzers zu etablieren.

Wachstum ohne ausreichende Sicherheit

Das OpenClaw-Projekt, früher als Moltbot und Clawdbot bekannt, erlebte ein virales Wachstum und wurde schnell zu einem der populärsten Open-Source-KI-Projekte. Diese rasche Verbreitung scheint jedoch die Sicherheitsreife überholt zu haben. Das Fehlen eines verpflichtenden Sicherheitsprüfverfahrens für Skills im ClawHub ermöglichte es Angreifern, relativ ungestört zu agieren.

Der Vorfall unterstreicht die wachsende Gefahr durch „Schatten-KI“, bei der Mitarbeiter mächtige KI-Tools ohne Genehmigung oder Aufsicht der IT auf Firmenrechnern installieren. Die umfangreichen Berechtigungen, die OpenClaw oft gewährt werden – inklusive Terminal- und Festplattenzugriff – bedeuten, dass ein einziger kompromittierter Skill zu einem schwerwiegenden Unternehmensdatenleck führen kann. Angreifer könnten sich im Netzwerk ausbreiten, Berechtigungen eskalieren und Ransomware einschleusen. Der OpenClaw-Vorfall ist ein Lehrstück für die Sicherheitsherausforderungen dezentraler, nutzererweiterbarer KI‑Ökosysteme.

Reaktion und Ausblick

Als Reaktion auf die öffentliche Aufdeckung dieser Schwachstellen haben die OpenClaw-Entwickler erste Schritte zur Absicherung der Plattform unternommen. Der ClawHub-Marktplatz integriert nun Googles VirusTotal-Dienst, um Skills automatisch auf Malware zu scannen. Sicherheitsexperten bewerten dies als positiven Schritt, sehen darin aber keine vollständige Lösung. Automatische Scans erkennen weder die Social-Engineering-Taktiken des „Poisoning Playbooks“ noch die „undichten“ Skills, die aus unsicherer Konstruktion und nicht aus bösartigem Code entstehen.

Für Nutzer und Organisationen empfehlen Experten eine Haltung extremer Vorsicht. Dazu gehört, Skills nur von gründlich geprüften Entwicklern zu installieren, jedes Installationsskript, das verschleierte Befehle verlangt, kritisch zu hinterfragen und KI-Agenten als hochprivilegierte Anwendungen mit robusten Sicherheitskontrollen zu behandeln. Für Unternehmen ist die Erstellung einer internen, genehmigten Liste von KI-Skills und deren Spiegelung in einem privaten Repository eine empfohlene Verteidigungsstrategie. Dieser Vorfall macht deutlich: Je integrierter und autonomer KI wird, desto kritischer wird die Absicherung ihrer Lieferkette für die Cybersicherheitsbranche.

@ boerse-global.de

Hol dir den Wissensvorsprung der Profis. Seit 2005 liefert der Börsenbrief trading-notes verlässliche Trading-Empfehlungen – dreimal die Woche, direkt in dein Postfach. 100% kostenlos. 100% Expertenwissen. Trage einfach deine E-Mail Adresse ein und verpasse ab heute keine Top-Chance mehr.
Jetzt anmelden.