Openclaw: KI-Tool erobert Netz – und öffnet Hackern Tür und Tor

Ein populäres Open-Source-KI-Tool verspricht vollautomatische Assistenten, stellt aber ein massives Sicherheitsrisiko dar. Experten warnen vor Datenklau und Systemübernahmen.

Openclaw, ursprünglich als Clawdbot bekannt, hat sich in der Tech-Community wie ein Lauffeuer verbreitet. Das Tool ermöglicht es, einen persönlichen KI-Agenten zu installieren, der selbstständig E-Mails bearbeitet, Kalender verwaltet und über WhatsApp oder Slack kommuniziert. Doch der Hype um die neue Ära der Automatisierung wird von einer Flut ernster Sicherheitswarnungen überschattet. Cybersicherheitsexperten sehen in unsicheren Konfigurationen und der Architektur des Tools ein erhebliches Risiko für sensible Nutzerdaten und die Integrität ganzer Systeme.

Hunderte ungesicherte Server im Netz

Das dringendste Problem: Hunderte Openclaw-Instanzen sind ungeschützt im Internet frei zugänglich. Sicherheitsforscher entdeckten öffentlich erreichbare Kontrollserver, die ohne oder mit nur schwacher Authentifizierung laufen. Diese Fehlkonfigurationen, oft durch falsch eingerichtete Reverse-Proxies verursacht, legen private Chat-Verläufe, API-Schlüssel und andere Anmeldedaten offen.

Die Software speichert Zugangsdaten zudem im Klartext in Konfigurationsdateien. Selbst wenn Nutzer sie aus der Hauptdatei entfernen, bleiben sie oft in automatischen Backups erhalten – ein leichtes Ziel für Schadsoftware. Die komplexe Installation, die das Management von API-Schlüsseln und Firewall-Regeln erfordert, führt bei weniger erfahrenen Anwendern fast zwangsläufig zu unsicheren Setups.

Seit August 2024 gilt die EU-KI-Verordnung — viele Entwickler und Unternehmen stehen jetzt vor neuen Pflichten. Autonome Agenten wie Openclaw werden häufig in höhere Risikoklassen eingeordnet und erfordern Kennzeichnung, Risikobewertung und umfassende Dokumentation. Unser kostenloses E‑Book erklärt praxisnah, welche Anforderungen für Anbieter und Betreiber gelten, wie Sie Ihr System korrekt klassifizieren und welche Übergangsfristen relevant sind. Inklusive umsetzbarer Checklisten und Handlungsschritten für Entwickler und Compliance-Teams. Jetzt kostenlosen KI-Umsetzungsleitfaden herunterladen

Prompt-Injection: Die unsichtbare Gefahr

Noch bedrohlicher als Konfigurationsfehler ist die grundlegende Anfälligkeit für Prompt-Injection-Angriffe. Der KI-Agent ist darauf ausgelegt, auf externe Daten wie E-Mails oder Webseiten zu reagieren und zu handeln. Angreifer können bösartige Befehle in diese Daten einbetten. Eine manipulierte E-Mail könnte den Agenten so anweisen, vertrauliche Dateien zu stehlen oder Schadcode auszuführen.

Dieser Angriff, bekannt als indirekte Prompt-Injection, ist besonders tückisch. Er benötigt keine direkte Interaktion mit dem Opfer. Die Fähigkeit des Agenten, sich an frühere Aktionen zu „erinnern“, ermöglicht zudem verzögerte, mehrstufige Attacken, die für herkömmliche Sicherheitssysteme kaum erkennbar sind. Experten sehen hier eine der größten Schwachstellen für jeden KI-Agenten.

Schatten-KI und Social Engineering

Die rasante Popularität und mehrere Namensänderungen des Projekts schufen ein perfektes Umfeld für Betrug. Kriminelle nutzten die Verwirrung aus, indem sie gefälschte Kryptowährungs-Tokens kreierten und bösartige Browser-Erweiterungen verbreiteten. Eine gefälschte Visual-Studio-Code-Erweiterung namens „ClawdBot Agent“ installierte im Hintergrund Malware, während sie vordergründig als funktionierender Assistent agierte.

Parallel führt die einfache Installation zu einem wachsenden Problem in Unternehmen: Schatten-KI. Mitarbeiter laden das mächtige Tool ohne Wissen der IT-Abteilung auf ihre Arbeitsrechner. Diese nicht verwalteten Instanzen können eine Brücke zwischen dem Firmennetzwerk und externen Diensten schlagen und so völlig neue Angriffswege für Datendiebstahl eröffnen.

Security-by-Design: Ein Weckruf für die Branche

Der Fall Openclaw ist symptomatisch für ein grundlegendes Problem: Die rasante Entwicklung der KI überholt oft die Etablierung robuster Sicherheitsstandards. Um nützlich zu sein, brauchen diese Agenten weitreichende Zugriffsrechte. Diese Konzentration von Privilegien auf einer einzigen, oft laienhaft konfigurierten Plattform schafft einen idealen Angriffspunkt.

Die Entwickler um Peter Steinberger haben zwar reagiert, unsichere Standardeinstellungen entfernt und eine Audit-Funktion hinzugefügt. Doch die Vorfälle sind ein deutlicher Weckruf. Sie unterstreichen die Notwendigkeit, Sicherheit von Anfang an in das Design von KI-Systemen zu integrieren. Für Unternehmen bedeutet das: klare Richtlinien für den Umgang mit KI-Tools sind dringender denn je, um die unkontrollierte Verbreitung von Schatten-IT zu stoppen.

PS: Setzen Sie KI-Agenten wie Openclaw im Unternehmen ein oder werden sie von Mitarbeitenden unkontrolliert genutzt? Dann ist rechtliche Absicherung jetzt wichtig. Unser gratis E‑Book zur EU-KI-Verordnung fasst Kennzeichnungspflichten, Risikoklassen und die erforderliche Dokumentation kompakt zusammen und liefert Vorlagen sowie eine Checkliste für die Umsetzung. Ideal für Datenschutzbeauftragte, IT-Leiter und Entwickler, die rechtliche Risiken minimieren wollen. Gratis E‑Book zur KI-Verordnung herunterladen