[email protected] +49 2486 2379991
DE / EN

OpenClaw: Wenn der KI-Assistent zur Waffe wird

26. April 2026 Von Raimund Bauer Kategorie: Cybersecurity
Zurück zum Blog

Ich habe heute eine wirklich wunderbare Nachricht für Sie. Denn je beliebter ein KI-Assistent wird, desto begeisterter sind alle Beteiligten. OpenClaw hat in kürzester Zeit über 135.000 GitHub-Stars eingesammelt. Mehr als 100.000 Downloads pro Woche. Das beliebteste Open-Source-Projekt in diesem Bereich. Ein Assistent, der alles kann - und das völlig autonom.

Nur: Je schlauer die Künstliche Intelligenz wird, desto weniger bemerken wir, dass sie gar nicht mehr schlau entscheidet, wer alles Zugriff hat. Sondern einfach jedem den Schlüssel gibt, der anklopft.

512 Schwachstellen. 40.000 offene Türen.

Ein Sicherheitsaudit hat 512 Schwachstellen identifiziert, acht davon kritisch. Shodan-Suchen ergaben über 40.000 öffentlich erreichbare OpenClaw-Instanzen ohne jeglichen Schutz. 63 Prozent davon waren direkt angreifbar. Fast 13.000 Instanzen über Remote Code Execution komplett übernehmbar. Und das ist erst der Anfang.

Was OpenClaw kann - und warum das ein Problem ist

Was OpenClaw kann, klingt tatsächlich beeindruckend. Es liest Ihre E-Mails. Es verwaltet Ihren Kalender. Es bucht Flüge. Es führt Shell-Kommandos auf Ihrem Rechner aus. Es steuert Ihren Browser. Es verbindet sich mit WhatsApp, Telegram, Slack, AWS, Google Cloud, Stripe - praktisch allem, was in Ihrem digitalen Leben so rumliegt.

Und für all das braucht es Ihre API-Schlüssel. Alle davon. Und es speichert sie im Klartext. Über Sessions hinweg. Dauerhaft. Cisco hat das sehr prägnant zusammengefasst: Aus technischer Sicht sei OpenClaw bahnbrechend. Aus Sicherheitssicht ein absoluter Albtraum.

Vibe-Coded: Von KI zusammengebaut

Ein Sicherheitsaudit vom Januar 2026 hat 512 Schwachstellen identifiziert, acht davon als kritisch eingestuft. Das Projekt wurde im Wesentlichen von KI-Programmen zusammengebaut - Sicherheitsforscher nennen das "vibe-coded". Es speichert Zugangsdaten im Klartext, nutzt unsichere Codemuster, und ein direktes Ausführen von Nutzereingaben ist standardmäßig eingeschaltet. Keine Datenschutzerklärung. Keine klare Verantwortlichkeit.

ClawHub: 30.000 Skills, 335 bösartig

OpenClaw hat einen eigenen Marktplatz für Erweiterungen - ClawHub genannt. Über 30.000 Skills stehen dort. Forscher von Reco.ai haben 335 bösartige Skills identifiziert. Mit professioneller Dokumentation und harmlos klingenden Namen. Trend Micro hat 39 weitere analysiert - alle installierten sich im Hintergrund und stahlen Apple-Passwortspeicher, Browser-Passwörter, Kreditkartendaten. Cisco fand bei über einem Viertel der Skills zumindest eine Sicherheitslücke. 12 Prozent enthielten nachweislich Malware.

ClawJacked: Jede Website konnte Ihren Agenten übernehmen

Jede beliebige Website, die Sie im Browser öffnen, konnte Ihren gesamten OpenClaw-Agenten übernehmen. Ohne Plug-in. Ohne Browser-Erweiterung. Ohne dass Sie irgendetwas tun mussten. CVE-2026-25253, CVSS-Bewertung von 8,8. Der Patch kam in weniger als 24 Stunden. Nur die 24 Stunden davor waren etwas unangenehm.

Was das für Unternehmen bedeutet

74 Prozent der Unternehmen planen, autonome KI-Agenten einzusetzen. Nur 21 Prozent haben überhaupt eine Strategie, wie sie diese Agenten kontrollieren. OpenClaw zeigt, wohin diese Entwicklung führt - Fähigkeiten, die vor einem Jahr noch Science-Fiction waren, sind heute über drei Klicks erreichbar.

OpenClaw kann Shell-Befehle ausführen. Beliebig. Einschließlich "rm -rf" - dem Unix-Befehl, der alles löscht, ohne nachzufragen. Ein falscher Pfad, und der gesamte Rechner ist weg. Das deutsche Bundesamt für Sicherheit in der Informationstechnik empfiehlt deshalb: OpenClaw nur für IT-Profis, und bitte in einer Sandbox betreiben.

Die Risiken sind real. Die Governance hinkt hinterher. Und die Warnungen kommen vom BSI, von Cisco, von Trend Micro, von Kaspersky, von Oasis Security und dutzenden weiteren unabhängigen Forschern.

Die wichtigste Erkenntnis

Autonome KI-Agenten sind mächtiger als je ein Werkzeug auf Ihrem Rechner. Das bedeutet auch: ein Fehler oder ein Angriff ist mächtiger als je zuvor. Wer solche Werkzeuge einsetzt, braucht eine Strategie - nicht nur für die Nutzung, sondern für die Absicherung. Der Reiz der Bequemlichkeit ist groß. Die Konsequenzen der Nachlässigkeit sind es auch.

Quellen

  1. Kaspersky Blog: New OpenClaw AI agent found unsafe for use
    Detaillierte Analyse der Schwachstellen, 512 identifizierte Sicherheitslücken, acht kritische:
    kaspersky.com - OpenClaw vulnerabilities exposed
  2. Cisco Blogs: Personal AI Agents like OpenClaw Are a Security Nightmare
    Untersuchung des Skill-Ökosystems: 26 % von 31.000 analysierten Skills mit Sicherheitslücken, aktive Datenexfiltration dokumentiert:
    blogs.cisco.com - OpenClaw Security Nightmare
  3. Infosecurity Magazine: Researchers Find 40,000+ Exposed OpenClaw Instances
    SecurityScorecard-Analyse: 40.000 exponierte Deployments, 63 % verwundbar, 12.812 über RCE angreifbar:
    infosecurity-magazine.com - 40,000 Exposed OpenClaw Instances
  4. Oasis Security: ClawJacked - OpenClaw Vulnerability Enables Full Agent Takeover
    Technische Analyse von CVE-2026-25253: WebSocket-Hijacking über jede beliebige Website, Patch in v2026.2.25:
    oasis.security - ClawJacked
  5. Trend Micro: Malicious OpenClaw Skills Used to Distribute Atomic MacOS Stealer
    39 bösartige Skills analysiert, AMOS-Stealer-Verteilung über ClawHub und SkillsMP dokumentiert:
    trendmicro.com - OpenClaw AMOS Stealer
  6. Snyk: How a Malicious Google Skill on ClawHub Tricks Users Into Installing Malware
    Analyse des "Pastebin Piping"-Angriffsvektors über ClawHub-Skills:
    snyk.io - Malicious Google Skill on ClawHub

KI-Agenten in Ihrem Unternehmen absichern?

Ich helfe Ihnen, die Risiken autonomer KI-Werkzeuge zu bewerten und eine Governance-Strategie aufzubauen. Unverbindliches Erstgespräch.

Jetzt anfragen