OpenClaw, ein kürzlich populär gewordener KI-Agent, steht vor gravierenden Sicherheitsbedenken, nachdem Forscher Malware in Hunderten von Nutzer-Beiträgen für seine „Skills“-Plattform entdeckt haben. Ursprünglich als Clawdbot und später Moltbot bekannt, wirbt OpenClaw mit der Fähigkeit, echte Aufgaben zu erledigen – von Kalenderverwaltung über Flugbuchungen bis hin zur E-Mail-Organisation. Der Agent läuft lokal auf Geräten und lässt sich über Messenger wie WhatsApp, Telegram oder iMessage steuern. Doch durch die Möglichkeit, tiefgreifenden Zugriff auf das Gerät zu gewähren – inklusive Datei-Lesung und -Schreibvorgänge sowie die Ausführung von Skripten und Shell-Befehlen – wird OpenClaw zu einem potenziellen Angriffsziel. Kritische Sicherheitslücken entstehen durch die Fähigkeit von Nutzern, eigene „Skills“ hochzuladen, die die Funktionalität des KI-Systems erweitern sollen. Laut dem Sicherheitsunternehmen 1Password und der Open-Source-Malware-Überwachungsplattform OpenSourceMalware wurden zwischen dem 27. Januar und 2. Februar insgesamt 414 schädliche Add-ons auf dem ClawHub-Marktplatz veröffentlicht. Diese Skills täuschen oft als automatisierte Krypto-Handelswerkzeuge auf und verstecken sich hinter scheinbar nützlichen Funktionen. Tatsächlich führen sie zu einer automatisierten Ausführung von Malware, die sensible Daten wie API-Schlüssel von Börsen, private Wallet-Schlüssel, SSH-Zugangsdaten und Browser-Passwörter stiehlt. Ein besonders kritischer Fall betraf eine beliebte „Twitter“-Skill-Datei, die als Markdown-Datei veröffentlicht wurde. Jason Meller, Produkt-VP bei 1Password, entdeckte darin Anweisungen, die Nutzer dazu verleiten, einen Link aufzurufen, der den KI-Agenten dazu bringt, einen schädlichen Befehl auszuführen – inklusive Download und Ausführung von Info-Stealing-Malware. Da Markdown-Dateien beliebige Befehle enthalten können, ohne dass sie vorher geprüft werden, stellt dies eine ernsthafte Sicherheitslücke dar. Der Entwickler von OpenClaw, Peter Steinberger, reagiert mit Maßnahmen: ClawHub verlangt nun von Nutzern, ein GitHub-Konto mit mindestens einer Woche Aktivität zu besitzen, um einen Skill hochzuladen. Zudem wurde ein Berichtsmechanismus eingeführt. Dennoch bleibt die Gefahr bestehen, dass schädliche Inhalte weiterhin auf die Plattform gelangen, da die Überprüfung der Inhalte weiterhin nicht automatisiert oder umfassend ist. In der Fachcommunity wird OpenClaws Ansatz als innovativ, aber riskant kritisiert. Sicherheitsexperten warnen vor der Kombination von hoher Zugriffsrechte und einer offenen, unkontrollierten Add-on-Ökologie. Die Plattform ist zwar ein Meilenstein im Bereich lokaler KI-Agents, doch ohne robuste Sicherheitskontrollen und automatisierte Analyse von Add-ons bleibt sie ein attraktives Ziel für Angreifer. OpenClaw hat das Potenzial, eine neue Generation von KI-assistierten Systemen zu prägen – doch die Sicherheit muss dringend aufgewertet werden, um das Vertrauen der Nutzer zu gewinnen.