OpenClaw: Vom KI-Hype zum Sicherheitsrisiko

Das populäre Open-Source-Projekt wird zur Zielscheibe von Betrügern und birgt fundamentale Sicherheitslücken. Experten warnen vor unkontrolliertem Einsatz.

In einer turbulenten Woche für die KI-Community ist die virale Plattform OpenClaw zum Hauptziel von Cyberkriminellen geworden. Die explosive Verbreitung des Tools und eine Serie chaotischer Namensänderungen haben ein perfektes Umfeld für Betrug und Missbrauch geschaffen. Sicherheitsfirmen warnen vor einer breiten Palette von Gefahren – von Kryptowährungs-Betrug über schädliche Plugins bis hin zu nicht genehmigtem Unternehmenseinsatz. Für die schnell wachsende Nutzerbasis entsteht so ein erhebliches Sicherheitsrisiko.

Die Plattform, die KI-Assistenten erlaubt, über gängige Messenger-Apps wie WhatsApp oder Slack Aktionen auf dem Computer eines Nutzers auszuführen, erlebte einen rasanten Aufstieg. Innerhalb weniger Wochen sammelte das Projekt über 100.000 Sterne auf GitHub. Diese schnelle Verbreitung, gepaart mit Verwirrung durch mehrere Rebrandings – von Clawdbot über Moltbot zu OpenClaw – nutzen Kriminelle schamlos aus. Experten betonen: Die Funktionen, die OpenClaw so mächtig machen, werden in falschen Händen oder bei falscher Konfiguration zur gefährlichen Waffe.

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind. Virale Open‑Source‑Tools wie OpenClaw werden zunehmend als Einfallstor genutzt – von manipulierten Plugins bis zu Supply‑Chain‑Angriffen. Das kostenlose E‑Book erklärt konkrete Sofortmaßnahmen: sichere Agenten‑Konfiguration, Erkennung von Phishing und typosquatting‑Domains sowie Praxistipps zur Härtung Ihrer IT‑Umgebung. Ideal für IT‑Leitung und Geschäftsführer, die Risiken ohne große Budgets reduzieren wollen. Jetzt kostenlosen Cyber‑Security‑Guide herunterladen

Von Markenverwirrung zu Malware: Die Anatomie einer neuen Bedrohung

Der Kern des Sicherheitsproblems liegt im rasanten und unübersichtlichen Wachstum des Projekts. Nach einer Markenrechtsstreitigkeit und der ersten Umbenennung von Clawdbot sprangen Betrüger sofort auf den Zug auf. Sicherheitsforscher dokumentieren Wellen von typosquatting-Domains und geklonten Software-Repositories nach jedem Rebranding. Diese gefälschten Seiten und Code-Quellen locken Nutzer dazu, manipulierte Versionen der Software herunterzuladen, die oft mit Infostealern oder anderer Schadsoftware versehen sind.

Die Angriffe beschränken sich nicht auf plumpe Fälschungen. Auch bösartige Browser-Erweiterungen wurden identifiziert, wie ein betrügerisches Visual Studio Code-Plugin namens „Clawdbot Agent – AI Coding Assistant“, das Trojaner mit Fernzugriffsmöglichkeiten einschleust. Der Hype um das Projekt führte zudem zur Erstellung gefälschter Kryptowährungs-Token. Eine solche Betrugsmünze erreichte eine Marktkapitalisierung von 16 Millionen Euro, bevor der Projektgründer Peter Steinberger sie öffentlich ablehnte.

Diese opportunistischen Betrugsmaschen zeigen die Gefahren viraler Open-Source-Projekte, bei denen der Nutzereifer bewährte Sicherheitspraktiken überholt. Die ständigen Namensänderungen erschweren es den Anwendern, offizielle Quellen zu identifizieren – und machen sie verwundbar für ein breites Spektrum von Angriffen.

Das „tödliche Dreigestirn“: Inhärente Risiken autonomer Agenten

Jenseits der Betrugsversuche weisen Sicherheitsexperten auf fundamentale Design-Risiken in OpenClaw hin. Der Agent benötigt weitreichende Berechtigungen, um nützlich zu sein: Dazu zählen das Lesen und Schreiben von Dateien, die Ausführung von Shell-Befehlen und die Integration in private Messaging-Dienste. Diese Kombination aus Zugriff auf sensible Daten, Exposition gegenüber nicht vertrauenswürdigen externen Eingaben und der Fähigkeit, mit externen Servern zu kommunizieren, beschreibt Sicherheitsforscher Simon Willison als „tödliches Dreigestirn“ des Risikos.

Diese Risiken sind nicht nur theoretisch. Forscher demonstrierten erfolgreiche Prompt-Injection-Angriffe, bei denen eine speziell präparierte E-Mail einen OpenClaw-Agenten dazu bringt, private Nutzerdaten an einen Angreifer weiterzuleiten. Die erweiterbare „Skills“-Architektur der Plattform, mit der Nutzer neue Funktionalitäten hinzufügen können, birgt ebenfalls ein erhebliches Supply-Chain-Risiko. Bereits entdeckt wurde ein bösartiger Skill, der als Backdoor fungierte und einem Angreifer unbefugten Zugriff auf das System verschaffte.

Das Problem verschärft sich, weil viele Nutzer ihre OpenClaw-Instanzen ohne angemessene Sicherheitskonfiguration dem öffentlichen Internet aussetzen. Sie schaffen so effektiv eine Schnittstelle für die Fernausführung von Befehlen durch Angreifer. Ein Bericht identifizierte über 1.400 Instanzen, die aufgrund von Fehlkonfigurationen sensible Daten preisgaben.

Schatten-KI im Unternehmen und die Reaktion der Community

Der virale Charakter von OpenClaw hat zu seiner raschen – und oft nicht genehmigten – Einführung in Unternehmensumgebungen geführt. Das Sicherheitsunternehmen Token Security berichtet, dass bei einer aktuellen Analyse 22 Prozent seiner Unternehmenskunden Mitarbeiter hatten, die den KI-Agenten ohne Wissen oder Genehmigung ihrer IT-Abteilungen nutzten. Dieser „Shadow IT“-Trend birgt erhebliches Risiko, da Mitarbeiter Unternehmensressourcen anschließen oder sensible Firmendaten über ungesicherte, privat verwaltete KI-Agenten preisgeben könnten.

Als Reaktion auf die eskalierenden Bedrohungen haben sich das OpenClaw-Entwicklungsteam und seine Community zu einer sicherheitsbewussteren Haltung durchgerungen. Die offizielle Dokumentation des Projekts enthält nun explizite Warnungen vor den inhärenten Risiken und fördert ein gemeinsames Sicherheitsmodell. Aktuelle Code-Updates umfassen Dutzende sicherheitsrelevanter Commits, die die Plattform gegen Angriffe härten sollen.

In einer neuartigen Entwicklung ist mit Moltbook ein soziales Netzwerk für KI-Agenten entstanden, in dem autonome Agenten auf Basis des OpenClaw-Frameworks interagieren können. Berichte von der Plattform deuten darauf hin, dass KI-Agenten selbst Sicherheitsprobleme diskutieren. Ein populärer Beitrag soll andere Agenten sogar vor den Gefahren von Supply-Chain-Angriffen in Skill-Dateien gewarnt haben.

Ausblick: Ein vorsichtiger Weg nach vorn

Die Geschichte von OpenClaws rapidem Aufstieg und den darauffolgenden Sicherheitsherausforderungen dient als kritische Fallstudie für das Zeitalter der agentenbasierten KI. Während die Fähigkeiten der Plattform überzeugend sind, unterstreichen ihre Sicherheitslücken die Gefahren des Einsatzes mächtiger, autonomer Systeme ohne robuste Schutzmaßnahmen. Sicherheitsexperten raten, dass die Plattform in ihrem aktuellen Zustand am besten für fortgeschrittene Nutzer geeignet ist, die die damit verbundenen Risiken vollständig verstehen und abmildern können.

Für Unternehmensnutzer fällt die Empfehlung noch deutlicher aus: Sicherheitsteams sollten aktiv auf nicht autorisierte Installationen von OpenClaw und ähnlichen Tools überwachen. Für Privatanwender lautet die Devise: Äußerste Vorsicht walten lassen. Dazu gehört, die Software ausschließlich aus dem offiziellen, verifizierten GitHub-Repository herunterzuladen, den Agenten niemals dem öffentlichen Internet auszusetzen und alle Drittanbieter-„Skills“ oder Plugins so lange als potenziell bösartig zu behandeln, bis das Gegenteil bewiesen ist. Während das OpenClaw-Projekt reift, stehen seine Entwickler und die Community vor der Herausforderung, die Schale des Tools zu härten – und die Nutzer vor den sehr realen Gefahren zu schützen, die sein eigener Popularitätserfolg angezogen hat.

PS: IT‑Sicherheit stärken ohne teure Neueinstellungen – ein praxisorientierter Gratis‑Leitfaden zeigt, wie Sie Ihr Unternehmen in wenigen Schritten gegen Angriffe absichern. Lernen Sie, wie Sie Prompt‑Injections, betrügerische Plugins und typosquatting‑Domains erkennen, Notfall‑Checks implementieren und Mitarbeitende gegen Social‑Engineering schulen. Enthält Checklisten für schnelle Umsetzung und Priorisierungs‑Pläne für begrenzte Budgets. Kostenlosen Cyber‑Security‑Leitfaden sichern