Das Versprechen von KI-Agenten ist verführerisch: ein digitaler Assistent, der nicht nur chattet, sondern tatsächlich Dinge erledigt – auf Dateien zugreift, das Terminal verwaltet und Workflows ausführt. OpenClaw hat sich als leistungsstarkes Gateway für diese Fähigkeiten etabliert, doch aktuelle Entdeckungen zeigen eine kritische Schwachstelle in der Art, wie diese Agenten gebaut und geteilt werden.
Laut einer aktuellen Analyse von 1Password ist genau das Ökosystem, das OpenClaw nützlich macht – die Bibliothek von Community-erstellten „Skills" – zu einem gefährlichen Einfallstor für Malware geworden.
Das Problem: Skills als Angriffsvektoren
Im OpenClaw-Ökosystem ist ein „Skill" im Wesentlichen ein Satz von Anweisungen, oft als einfache Markdown-Datei formatiert. Diese Dateien sagen dem Agenten, wie er bestimmte Aufgaben ausführen soll. Das macht das Erstellen und Teilen von Skills zwar einfach, verwischt aber auch die Grenze zwischen Dokumentation und Ausführung.
Das Kernproblem ist, dass diese Skills oft als Installer fungieren. Sie leiten den Agenten (und den Benutzer) an, Befehle auszuführen, Abhängigkeiten zu installieren oder Code ins Terminal einzufügen. Da Benutzer dem Agenten vertrauen, überspringen sie oft die Prüfung, die sie normalerweise beim Ausführen unbekannten Codes anwenden würden.
Der „Twitter Skill"-Vorfall
Das Missbrauchspotenzial ist nicht theoretisch – es passiert bereits. 1Password berichtete, dass der meistgeladene Skill auf „ClawHub" – einem beliebten Repository für OpenClaw-Skills – ein getarntes Malware-Transportmittel war.
Äußerlich erschien er als harmlose Twitter-Integration. Die Installationsanweisungen erforderten jedoch eine Abhängigkeit namens „openclaw-core." Die bereitgestellten Links zur Installation dieser Abhängigkeit leiteten auf bösartige Infrastruktur um, die:
- Einen verschleierten Payload ausführte.
- Ein Second-Stage-Skript herunterlud.
- Einen macOS-Infostealer installierte, der speziell darauf ausgelegt war, Gatekeeper zu umgehen.
Das war kein Scherz. Die Malware war darauf ausgelegt, alles Wertvolle auf dem Rechner abzugreifen: Browser-Cookies, gespeicherte Zugangsdaten, SSH-Schlüssel, Entwickler-Tokens und Cloud-Credentials.
Warum Protokolle wie MCP kein Allheilmittel sind
Ein verbreiteter Irrglaube ist, dass das Model Context Protocol (MCP) diese Interaktionen sicher macht, indem es strukturiert, wie Tools aufgerufen werden. Die Analyse zeigt jedoch, dass böswillige Akteure MCP einfach umgehen können.
Da „Skills" oft nur Markdown-Dateien mit freien Anweisungen sind, können Angreifer Social Engineering im Text verwenden, um Benutzer oder Agenten dazu zu bringen, Befehle außerhalb der sicheren Grenzen des Protokolls auszuführen. Wenn ein Skill sagt „Füge diesen Befehl ein, um eine Abhängigkeit zu reparieren", kann das Protokoll dich nicht aufhalten.
Was Sie tun sollten
Wenn Sie mit OpenClaw oder ähnlichen Agenten-Frameworks experimentiert haben, ist der Rat der Sicherheitsforscher deutlich:
- Nutzen Sie es nicht mehr auf Firmengeräten: Es gibt derzeit keine sichere Möglichkeit, diese Agenten auf Rechnern zu betreiben, die sensible Unternehmensdaten oder Zugangsdaten enthalten.
- Behandeln Sie bisherige Nutzung als Kompromittierung: Wenn Sie Skills installiert oder Befehle über OpenClaw auf einem Arbeitsrechner ausgeführt haben, gehen Sie davon aus, dass Ihre Session-Tokens und Geheimnisse gefährdet sind. Rotieren Sie sofort Ihre SSH-Schlüssel, API-Tokens und Passwörter.
- Isolieren Sie Ihre Experimente: Wenn Sie agentische KI erkunden möchten, tun Sie dies auf einem vollständig isolierten Rechner (Sandbox) ohne Zugang zu Ihren Hauptkonten oder sensiblen Netzwerken.
Die Zukunft der Agenten-Sicherheit
OpenClaw demonstriert die unglaubliche Kraft, die Distanz zwischen Absicht und Ausführung zu überbrücken. Aber wie 1Password anmerkt, erfordert diese Kraft eine neue „Vertrauensebene." Solange wir keine Systeme haben, die die Herkunft von Skills verifizieren und deren Ausführung strikt sandboxen, ist das Herunterladen eines KI-Skills praktisch dasselbe wie das Ausführen eines Shell-Skripts von einem Fremden auf Ihrem Laptop – riskant, unberechenbar und potenziell verheerend.