Kostenloser KI-Agent

OpenClaw: Warum sich ein Enterprise-Albtraum anbahnt

OpenClaw
Bildquelle: Rokas Tenys/Shutterstock.com
LinkedInRedditWhatsApp

Die Entwicklungen rund um OpenClaw sorgen derzeit gleichermaßen für Faszination wie für erhebliche Sicherheitsbedenken. Es zeichnet sich ein potenzieller Enterprise-Albtraum ab.

Zunächst zu dem digitalen Assistenten OpenClaw selbst: Es handelt sich um einen kostenlosen KI-Agenten ohne jegliche Einschränkungen. Sicherheit war kein Teil des ursprünglichen Designs, also kein Sandboxing, voller Zugriff auf Computer, Dateien, E-Mail, Kalender, Messaging-Anwendungen und vieles mehr.

Anzeige

Erstaunlicherweise scheint das die meisten Leute nicht zu stören. OpenClaw zeigt die Leistungsfähigkeit eines uneingeschränkten Agenten — technisch sehr bemerkenswert. Offen gestanden glaube ich, dass die Sicherheitsexperten geschwiegen hätten, wenn jeder verstanden hätte, wie experimentell diese Software wirklich ist. Trotz der klaren Dokumentation schien sich kaum jemand Gedanken zu machen. Die Leute waren zu fasziniert von dem, was OpenClaw kann. Trend Micro hat die Funktionalität (auch im Vergleich zum ChatBot Agent) bereits untersucht und auch die Risiken aufgezeigt.

Das wachsende Ökosystem

Nach und nach sind weitere Fähigkeiten (“Skills”) hinzugekommen und auf ClawHub, der öffentlichen Skills Registry des Agenten geteilt. Und die Sicherheit? Das Cybersicherheitsunternehmen Snyk hat in einer umfassenden Untersuchung von 3.984 Skills festgestellt, dass die Agent Skills 13,4 Prozent kritische Sicherheitsprobleme aufwiesen, darunter Möglichkeiten zur Verbreitung von Malware, Diebstahl von Zugangsdaten und für Prompt Injection-Angriffe. Die Sicherheitsforscher identifizierten 76 bestätigte bösartige Payloads, von denen acht zum Zeitpunkt der Veröffentlichung noch auf ClawHub verfügbar waren. Trend Micro stellte in der oben erwähnten Untersuchung klar, dass diese Risiken mit dem Paradigma der KI-Agenten zusammenhängen. Token Security aber stellte fest, dass bereits 22 % seiner Unternehmenskunden Mitarbeitende haben, die OpenClaw ohne IT-Genehmigung verwenden.

Moltbook: Ein soziales Netzwerk für Bots

Seit Kurzem gibt es nun Moltbook, ein soziales Netzwerk für OpenClaw-Bots, in dem diese chatten, ihre Fähigkeiten teilen und auch austauschen können. Aus technischer Sicht ist der unbegrenzte Austausch beeindruckend. Die Tatsache, dass viele Skills bösartige Fähigkeiten enthalten? Niemand hat sich darum gekümmert.

Anzeige

Und es kommt noch schlimmer. Sicherheitsforscher von Wiz entdeckten eine schlecht konfigurierte Supabase-Datenbank, die 1,5 Millionen API-Schlüssel, 35.000 E-Mail-Adressen und private Nachrichten zwischen Agenten offenlegte, von denen einige OpenAI-API-Schlüssel im Klartext enthielten. Die „1,5 Millionen Agenten” der Plattform wurden in Wirklichkeit von etwa 17.000 Personen betrieben, ein Verhältnis von 88:1. Das Ganze wurde ohne angemessene Sicherheitskontrollen „vibe-coded”.

Des Weiteren bedeutet die Tatsache, Cybersicherheits-Tools wie VirusTotal-Checks zu haben, nicht, dass damit Sicherheit gewährleistet ist. In dem Blog-Eintrag, wo die Partnerschaft mit VirusTotal angekündigt wird, gibt OpenClaw offen zu, dass „dies kein Allheilmittel ist” und dass „eine Fähigkeit, die natürliche Sprache verwendet, um einen Agenten dazu zu bringen, bösartige Aktionen auszuführen, keine Virensignatur auslöst”.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Als es wirklich seltsam wurde …

Noch bizarrer: Jemand im Bot Social Network kam auf die Idee, „Crustafarianism” (Church of Claw) zu gründen, komplett mit Propheten, Schriften und Ritualen. Lustig, aber angesichts der grenzenlosen Plattform nicht überraschend.

Der Wahnsinn erreicht mit RentAHuman.ai seinen Höhepunkt, wo Bots echte Menschen für physische Aufgaben und Interaktionen mieten. Hier schließt sich der Kreis: Agenten kontrollieren nun Menschen!

Größte Sorge: Die Nachfrage aus Unternehmen

Alles bislang ist technisch gesehen faszinierend und zeigt das Potenzial von Agenten und KI. Da es sich um eine experimentelle(!) Phase handelt, in der die Beteiligten Sicherheitsbedenken offen ignorieren, weil „es ein Experiment ist”, ist das ehrlich, aber unglaublich riskant.

Meine größte Sorge ist die Nachfrage von Unternehmen, OpenClaw in größerem Umfang einzusetzen. Berichte über seine Fähigkeiten erscheinen in den Mainstream-Medien wie New York Times, Forbes und NBC. Führungskräfte sehen darin einen Wettbewerbsvorteil und ignorieren die Sicherheitsrisiken, die den meisten nicht bewusst sind oder bewusst ausgeblendet werden.

Vielleicht geht es nur mir so, aber ein persönlicher OpenClaw-Agent, der Bitcoins löscht oder die digitale Identität zerstören kann, ist gefährlich. Das bleibt jedoch ein persönliches Risiko. Wenn ähnliche KI ohne Einschränkungen in Unternehmen mit vollem Zugriff auf Unternehmenssysteme eingesetzt wird, könnte es katastrophal werden.

Genau das hat Token Security demonstriert: Ein Mitarbeiter verbindet OpenClaw mit dem Slack des Unternehmens und plötzlich fließen vertrauliche Umsatzzahlen über einen nicht verwalteten KI-Agenten auf einem privaten Gerät zu WhatsApp, komplett an DLP-Kontrollen (Data Loss Prevention) und Audit-Trails vorbei.

Und die Meldungen überschlagen sich: Mehr als 135.000 OpenClaw-Instanzen sind im Internet exponiert – so das neueste Vibe-coded Desaster.

Fazit

Das Schlimmste? Diejenigen, die Enterprise-Versionen fordern, scheinen sich nicht darum zu kümmern. Sie stellen vermeintliche Wettbewerbsvorteile über die Sicherheit und glauben, dass Sicherheit nur ein Hindernis ist und Risiken ignoriert werden können, sobald sie die Konkurrenz geschlagen haben.

Um es klar zu sagen: Es gibt bereits gehostete OpenClaw-Dienste für Unternehmen! Aus Sicht der Sicherheit finde ich das alarmierend. Am erschreckendsten ist nicht nur das Muster, sondern das Ausmaß und die rasante Verbreitung. Ich habe noch nie erlebt, dass eine so unsichere Technologie so schnell so viel Aufmerksamkeit erlangt hat.

Aber die Zahlen lügen nicht:

  • 534 Skills mit kritischen Sicherheitsproblemen von 3.984 gescannten
  • 76 bestätigte bösartige Payloads, darunter Credential-Diebstahl und Backdoors
  • 91 % der bösartigen Skills kombinieren Prompt Injection mit traditioneller Malware
  • 22 % der Unternehmenskunden haben unautorisierte OpenClaw-Installationen
  • 1,5 Millionen API-Schlüssel durch Moltbooks Datenbank-Fehlkonfiguration offengelegt
  • Hunderte exponierte OpenClaw-Instanzen ohne Authentifizierung, mit undichten API-Schlüsseln, OAuth-Tokens und Gesprächsverläufen.


Udo Schneider

Udo

Schneider

Governance, Risk & Compliance Lead Europe

Trend Micro

Anzeige
ISO 27001:2022
12. Februar 2026
easy software erhält ISO 27001-Zertifizierung
SAP, SAP Business AI
12. Februar 2026
SAP Business AI im Unternehmen
CEOs
12. Februar 2026
Schlechtleistungs-Vorwürfe: IT-Dienstleister verstärkt unter Beschuss
Dokumentenmanagement
12. Februar 2026
DMS-Trends 2026: KI zwischen Kontrolle und Effizienz

Weitere Artikel

Berkeley-Studie: Weil KI Zeit spart, arbeiten Mitarbeiter länger
Wie Mikrosegmentierung die Zero-Trust-Datensicherheit stärkt
Zero-Click RCE in Claude Desktop: Warum uns das nicht überraschen sollte
VPNs im Wandel neuer Netzwerkarchitekturen: Was sichere Verbindungen heute leisten müssen
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.