ackpress – shutterstock.com
Das neue Tool zur Orchestrierung persönlicher KI-Agenten namens OpenClaw – früher Clawdbot, dann Moltbot genannt – erfreut sich aktuell großer Beliebtheit. Die Open-Source-Software kann eigenständig und geräteübergreifend arbeiten, mit Online-Diensten interagieren und Workflows auslösen – kein Wunder, dass das Github-Repo in den vergangenen Wochen Millionen von Besuchen und über 160.000 Sterne verzeichnet hat.
Laut Angaben des Entwicklers hatte das Repo von OpenClaw innerhalb einer einzigen Woche über zwei Millionen Besucher. Zudem gibt es rund 1,7 Millionen Agenten, deren menschliche Besitzer sie für die Social-Media-Plattform Moltbook angemeldet haben. Laut Sicherheitsforschern von OX Security liegen die Downloads von OpenClaw derzeit bei 720.000 pro Woche.
Was OpenClaw so attraktiv macht, ist, dass es lokal läuft und für die Verwendung beliebiger LLM im Backend konfiguriert werden kann. Zudem ermöglicht es seinen Benutzern, über die von ihnen bereits verwendeten Chat-Apps – WhatsApp, Telegram, Discord, Slack, Teams – zu kommunizieren. Das Orchestrierungs-Tool verfügt zudem über vorgefertigte Integrationen mit allen gängigen Betriebssystemen, vielen verschiedenen Smart-Home-Geräten, Produktivitäts-Apps, Chrome und Gmail.
Doch was ist das Problem bei der Anwendung des KI-Agenten?
Lesetipp: Agentic AI – der neue Horror für Sicherheitsentscheider?
Die Cybersicherheitsrisiken von OpenClaw
„Das Problem bei der Verwendung solcher Tools ist, dass sie im Grunde alles tun können, was ein Benutzer auch tun kann“, erklärt Rich Mogull, Chefanalyst bei der Cloud Security Alliance. Allerdings werden sie extern gesteuert Für Unternehmen könnte das ein hohes Risiko darstellen, warnt John Dwyer, stellvertretender CTO bei Binary Defense. „Es gibt zwar einige Schutzmaßnahmen, aber sie sind neu, unerprobt und wurden bereits von Forschern umgangen.“
Seine Empfehlung: CISOs sollten die Verwendung dieser Tools gänzlich verbieten. „Ich freue mich darauf, am Wochenende selbst damit zu experimentieren“, räumt Mogull ein. „Aber zum jetzigen Zeitpunkt sollte man es nicht zulassen, da es kein Sicherheitsmodell gibt.“
Und zwar schnell, denn das Tool wird bereits in einigen Unternehmen eingesetzt. Der Security-Anbieter Token berichtet, dass 22 Prozent seiner Kunden das Tool aktiv nutzen.
Die Auswirkungen gehen dabei über unmittelbare technische Risiken hinaus. „Für Unternehmen könnte dies Geldstrafen, Rechtsstreitigkeiten und Reputationsschäden bei Kunden und Partnern aufgrund von Verstößen gegen die Vertraulichkeit von Daten nach sich ziehen“, mahnt Georgia Cooke, Analystin bei ABI Research. Dazu gehören personenbezogene Daten, die zu Verstößen gegen die DSGVO und ähnliche Vorschriften zur Kontrolle personenbezogener Daten führen könnten, sowie Unternehmensinformationen, die einer Geheimhaltungsvereinbarung unterliegen.
Weitere Risiken sind Wettbewerbsnachteile aufgrund von offengelegten geistigem Eigentum und weitere Angriffe durch zugängliche technische Informationen und Anmeldedaten.
Der Sicherheitsforscher Maor Dayan bezeichnet OpenClaw als „den größten Sicherheitsvorfall in der Geschichte souveräner KI“. Seine Untersuchungen haben bereits mehr als 42.000 im Internet exponierte Instanzen identifiziert, wobei 93 Prozent der überprüften Systeme kritische Schwachstellen zur Umgehung der Authentifizierung aufwiesen.
Frühe Versionen von OpenClaw waren laut Experten standardmäßig unsicher. Die rasante virale Verbreitung habe zudem das Sicherheitsbewusstsein der Benutzer überfordert, sodass viele Implementierungen schnell wieder aufgegeben wurden und Instanzen mit veraltetem Code zurückblieben. Dokumentierte Angriffspfade ermöglichten den Diebstahl von Anmeldedaten, die Kontrolle über den Browser und die potenzielle Ausführung von Remote-Code.
Ende Januar warnten Forscher von Gartner bereits, dass OpenClaw „eine starke Nachfrage nach agentenbasierter KI offenbart, aber auch erhebliche Sicherheitsrisiken mit sich bringt”. Dem Analystenhaus zufolge wurden bereits Schwachstellen nachgewiesen, die eine Remote-Codeausführung innerhalb weniger Stunden nach der Bereitstellung ermöglichen.
Auch der ClawHub-Skills-Marktplatz –Ordner mit Anweisungen, Skripten und Ressourcen, die Agenten laut OpenClaw nutzen können, um Aufgaben genauer und effizienter zu erledigen, – birgt kritische Risiken für die Lieferkette. Zugangsdaten werden im Klartext gespeichert, und kompromittierte Hosts legen API-Schlüssel, OAuth-Token und sensible Konversationen offen.
„KI-Agenten enthalten oft Tokens und Geheimnisse in Konfigurationsdateien“, erläutert Jeremy Kirk, Director of Threat Intelligence bei Okta. „Wenn Benutzer sie falsch konfiguriert haben, werden sie offengelegt. Im Unternehmenskontext ist das problematisch.“
Darüber hinaus entdeckte Noma Security eine neue Sicherheitslücke im Zusammenhang mit OpenClaw: Unternehmensinterne Gruppen auf Discord, Telegram oder WhatsApp. Einer der Gründe, warum OpenClaw für Benutzer so attraktiv ist, ist die Möglichkeit, über mehrere Kanäle mit dem System zu interagieren. Ist OpenClaw jedoch in einen dieser Gruppenkanäle eingebunden, behandelt es Anweisungen von anderen Teilnehmern so, als kämen sie vom eigentlichen Besitzer.
Verschafft sich ein Angreifer Zugang zu einem öffentlichen Discord-Server, auf dem ein OpenClaw-Agent installiert ist, kann er dem Bot Anweisungen geben. Beispielsweise kann er ihn dazu bringen, einen Cron-Job auszuführen und das lokale Dateisystem nach Tokens, Passwörtern, API-Schlüsseln und Krypto-Seed-Phrasen zu durchsuchen.
„Innerhalb von 30 Sekunden bündelt der Agent die sensiblen Daten und sendet sie direkt an einen vom Angreifer kontrollierten Server“, so die Forscher von Noma. Für das Sicherheitsteam des Unternehmens sehe es so aus, als würde der Bot normal funktionieren – die Sicherheitsverletzung werde erst entdeckt, wenn die gestohlenen Anmeldedaten missbraucht werden. „Wenn Social-Media-Teams oder externe Auftragnehmer autonome Agenten wie Clawdbot einsetzen, öffnen sie damit praktisch eine dauerhafte und unüberwachte Hintertür zu den lokalen Rechnern, die mit ihrer Unternehmensinfrastruktur in Verbindung stehen.“
Und selbst wenn Mitarbeiter das Tool zu Hause auf ihren privaten Rechnern ausführen, stellt OpenClaw ein Sicherheitsrisiko dar: Über Browser-Steuerelemente oder so genannte Skills könnte die Software möglicherweise über die Anmeldedaten der Benutzer auf Unternehmensanwendungen zugreifen kann.
Die Sicherheitsrisiken werden von Tag zu Tag größer. Laut Forschern von OX Security ist auch die Entwickler-Community rund um OpenClaw ein großes Risiko. Das Projekt setzt auf vibe-codierte Einreichungen, was die Entwicklung beschleunigt, aber auch erhebliche Sicherheitsrisiken mit sich bringt. OX-Forscher haben mehrere unsichere Codierungsmuster in der Codebasis gefunden – mit potenziellen Folgen wie Remote-Code-Ausführung, Path-Traversal-Angriffen, DDoS oder Cross-Site-Scripting.
„Es gibt keine ausreichenden Schutzvorkehrungen“, betonen die Sicherheitsspezialisten. Sie fanden auch mehrere Fälle, in denen Fehlerberichte in GitHub veröffentlicht wurden, anstatt in privaten Nachrichten an die Maintainer. „Das gibt dies Angreifern die Möglichkeit, Schwachstellen schnell auszunutzen, ohne selbst recherchieren oder Penetrationstests durchführen zu müssen“, heißt es in ihrem Forschungsbericht.
Um noch Salz in die Wunde zu streuen: Es gibt es auch keinen formellen Prozess für Sicherheits-Patches und Updates. Die meisten Benutzer führen auch keine Updates durch, sondern bleiben einfach bei der Version, die sie ursprünglich heruntergeladen haben.
Und dann sind da noch die Skills. Der Sicherheitsforscher und OpenSourceMalware-Gründer Paul McCarty hat etwa 400 verschiedene bösartige Skills auf ClawHub, einem zentralen Repository für die OpenClaw-Plattform, identifiziert. Diese Skills sollen bei Aufgaben wie dem Handel mit Kryptowährungen, LinkedIn-Bewerbungen oder dem Herunterladen von YouTube-Video-Thumbnails helfen. Einige haben Tausende von Downloads und gehören zu den am häufigsten heruntergeladenen Skills auf ClawHub. Tatsächlich verleiten sie den Nutzer jedoch dazu, Malware zu installieren.
Um zu demonstrieren, wie einfach es ist, eine bösartige Funktion in das OpenClaw-Ökosystem einzuschleusen, entwickelte der Sicherheitsforscher Jamieson O’Reilly selbst eine solche Funktion. Er erhöhte künstlich die Download-Zahl auf über 4.000 – wodurch sie zur meist heruntergeladenen Funktion auf der Plattform wurde – und beobachtete, wie Entwickler aus sieben verschiedenen Ländern willkürliche Befehle auf ihren Rechnern ausführten, in der Annahme, sie hätten eine echte Funktion heruntergeladen.
„Dies war ein Proof of Concept, eine Demonstration dessen, was möglich ist“, schrieb er. „In den Händen einer weniger gewissenhaften Person wären diesen Entwicklern ihre SSH-Schlüssel, AWS-Anmeldedaten und gesamten Codebasen entwendet worden, bevor sie überhaupt bemerkt hätten, dass etwas nicht stimmt.“
OpenClaw deckt Sicherheitslücken in Unternehmen auf
Die erste wichtige Lehre aus der ganzen OpenClaw-Situation: Unternehmen müssen mehr tun, um ihre Sicherheitsgrundlagen zu verbessern. Denn wenn es irgendwo Lücken gibt, werden diese jetzt in beispiellosem Tempo gefunden und ausgenutzt. Im Fall von OpenClaw bedeutet das, die Benutzerrechte auf das absolute Minimum zu beschränken, eine Multi-Faktor-Authentifizierung für alle Konten einzurichten und andere grundlegende Sicherheitsmaßnahmen zu ergreifen.
Das löst zwar nicht das Problem von OpenClaw – und all den anderen agentenbasierten KI-Plattformen, die noch auf den Markt kommen werden –, aber es hilft, die Risiken zu begrenzen und den Schaden bei einer Sicherheitsverletzung zu reduzieren.
Tipps, um die Risiken einzudämmen
Zudem gibt es Maßnahmen, die Unternehmen ergreifen können, um die mit OpenClaw verbundenen Gefahren einzudämmen, sagt Kayne McGladrey, Senior Member des IEEE. Zunächst einmal können Unternehmen die Telemetrie auf Netzwerkebene untersuchen. „Wie sieht der Netzwerkverkehr aus, der von einem Gerät ausgeht?“, so McGladrey. „Verwendet dieses Gerät plötzlich sehr viel KI in raschem Tempo? Gibt es massive Spitzen bei der Token-Nutzung?“
Unternehmen können auch Tools wie Shodan verwenden, um öffentlich zugängliche Instanzen zu finden, fügt er hinzu, obwohl interne Firewall-Konfigurationen andere verbergen können.
Für Unternehmen, die Experimente zulassen wollen, anstatt sie komplett zu verbieten, schlägt er einen maßvollen Ansatz vor. „Wir müssen über schrittweise Pilotprogramme für interessierte Nutzer sprechen.“ Beispielsweise könnte es Nutzern gestattet werden, OpenClaw auf verwalteten Endpunkten mit Segmentierungsregeln auszuführen, die sie von internen Systemen isolieren, zusammen mit einer starken Telemetrie und kontinuierlicher Überwachung der Agentenaktivität, des ausgehenden Datenverkehrs und Warnmeldungen bei anomalem Verhalten. (jm)