OpenClaw-Sicherheitslücke: Hunderte Skills verteilen Trojaner und Infostealer
Neuer Sicherheitschef und automatisierte Scans sollen die verseuchten Skills auf der Plattform ClawHub eindämmen.
Der beliebte KI-Agent OpenClaw kämpft mit massiven Sicherheitsproblemen auf seiner Erweiterungs-Plattform ClawHub. Sicherheitsforscher entdeckten hunderte manipulierte Skills, die statt nützlicher Funktionen gefährliche Trojaner und Infostealer auf die Rechner der Nutzer schleusen.
Anzeige
Einfallstor Erweiterung
OpenClaw erweitert seinen Funktionsumfang modular durch sogenannte Skills. Diese Zusatzmodule ermöglichen es dem KI-Agenten, gezielt mit externen Programmen, Datenbanken oder Webseiten zu interagieren. Doch genau diese offene Schnittstelle nutzen Angreifer nun für ihre Zwecke aus. Kriminelle platzieren scheinbar harmlose Erweiterungen auf GitHub und verlinken diese im zentralen Verzeichnis ClawHub.
In den Installationsanweisungen verstecken sich oft bösartige Befehlszeilen. Wer diese blind kopiert und im Terminal ausführt, installiert nicht nur den gewünschten Skill. Im Hintergrund nisten sich Schadprogramme ein, die sensible Daten abgreifen oder Hintertüren für weitere Angriffe öffnen. Besonders perfide ist dabei, dass die eigentliche KI-Funktionalität oft erhalten bleibt, wodurch der Nutzer den Angriff zunächst nicht bemerkt.
Besonders tückisch ist die dynamische Natur dieser Angriffe. Herkömmliche Virenscanner scheitern oft, da der Schadcode zum Installationszeitpunkt noch gar nicht existiert. Angreifer programmieren die Skills so, dass sie wochenlang unauffällig ihren Dienst verrichten. Erst nach einer definierten Ruhephase oder ausgelöst durch eine spezifische Benutzereingabe weist der Agent das System an, die eigentliche Malware aus dem Netz nachzuladen.
Quelle: blog.virustotal.com
Scan-Offensive und neues Personal
Die Entwickler hinter OpenClaw reagieren nun auf die wachsende Kritik und die Berichte der Sicherheitsforscher. Eine frisch geschlossene Partnerschaft mit VirusTotal soll das Problem eindämmen. Ab sofort werden Skills automatisiert auf bekannten Schadcode überprüft, um infizierte Repositories schneller zu erkennen und zu markieren.
Zusätzlich verstärkt sich das Projekt personell. Jamieson O'Reilly übernimmt als neuer Sicherheitschef die Verantwortung für die Absicherung der Plattform. Seine primäre Aufgabe ist es, die Moderation auf ClawHub zu straffen und Prozesse zu etablieren, die das Einschleusen von Schadcode erschweren. Nutzer können verdächtige Skills nun auch direkt über das GitHub-Konto des Projekts melden.
Quelle: blog.virustotal.com
Das Risiko autonomer Agenten
Der Vorfall verdeutlicht die Gefahren autonomer KI-Agenten, die lokalen Code ausführen dürfen. OpenClaw (Clawbot, Moltbook) führt Befehle direkt auf dem Computer des Anwenders aus. Das macht das Tool extrem leistungsfähig bei der Automatisierung, eliminiert aber auch die üblichen Sicherheitsbarrieren einer Sandbox.
Nutzer sollten bei der Installation von Drittanbieter-Code weiterhin höchste Vorsicht walten lassen. Auch die neuen automatisierten Scans bieten keine Garantie für eine saubere Codebasis. Wer OpenClaw produktiv einsetzt, muss jede Zeile Code und jede Installationsanweisung prüfen, die der Agent vorschlägt oder nachladen will. Und damit verschwindet natürlich auch einer der großen Vorteile eines „autonomen” KI-Agenten.