Thought Leadership
Eine neue Open-Source-Sicherheitssuite soll Ordnung ins OpenClaw-Ökosystem bringen und autonome Agenten von innen heraus absichern.
Autonome KI-Agenten halten in immer mehr Unternehmen Einzug und damit wächst auch die Angriffsfläche. SentinelOne reagiert darauf mit ClawSec, einer kostenlosen Sicherheitssuite, die speziell für OpenClaw-Agenten entwickelt wurde. Entwickelt hat die Lösung Prompt Security, das SentinelOne im Jahr 2025 übernommen hat.
Das Problem mit den manipulierten Skills
Innerhalb weniger Tage tauchten mehr als 200 bösartige OpenClaw-Skills auf, die sich als legitime Erweiterungen tarnten. Verbreitet über GitHub und die offizielle OpenClaw-Registry, sammelten sie im Hintergrund API-Schlüssel, Cloud-Secrets, SSH-Zugangsdaten und Wallet-Daten. Der Fall offenbarte ein strukturelles Problem agentbasierter Ökosysteme: Wer installierten Skills blind vertraut, öffnet Angreifern alle Möglichkeiten.
“Der rasante Einsatz von autonomen Agenten wie OpenClaw birgt ein enormes Innovationspotenzial, gleichzeitig entstehen damit neue, bislang kaum adressierte Angriffsflächen,” sagt Erhan Özmen, Area Vice President for Central and Eastern Europe bei SentinelOne. Sein Fazit lautet: “Agenten müssen sicher von innen heraus funktionieren, bevor sie externen Aufgaben nachgehen.”
Was ClawSec macht
ClawSec legt sich als zusätzliche Sicherheitsschicht um den Agenten, als sogenannte Skill-of-Skills. Bestehende OpenClaw-Skills werden dabei nicht ersetzt, sondern kontinuierlich überwacht. Das umfasst die Herkunft installierter Skills, Änderungen an Prompt-Baselines sowie ausgehende Kommunikationspfade. Unterstützt werden sowohl das Format SKILL.md als auch das .skill-Paketformat. Alle mitgelieferten Sicherheits-Skills sind mit signierten Checksummen versehen und stammen aus verifizierten Quellen.
Unerwartete Konfigurationsänderungen erkennt ClawSec automatisch und meldet sie unmittelbar. Beim Start analysiert die Suite außerdem bekannte Prompt-Injection-Vektoren und unsichere Standardeinstellungen. Optional lassen sich wiederkehrende Prüfintervalle konfigurieren.
Community-basierter Advisory-Feed
Ergänzt wird ClawSec durch einen Warnmechanismus, der Meldungen aus der National Vulnerability Database sowie verifizierte GitHub-Hinweise bündelt. Bestätigte Bedrohungen werden automatisch an alle angeschlossenen Installationen verteilt. Agenten können verdächtige Skills daraufhin selbstständig kennzeichnen oder deren Ausführung blockieren. Updates laufen über GitHub-Workflows ohne zentrale Serverinfrastruktur.
Zero Trust und volle Kontrolle beim Betreiber
ClawSec versende standardmäßig keine Telemetriedaten. Erkennt die Suite eine Anomalie, pausiert der Agent und wartet auf eine explizite Nutzerfreigabe, bevor Informationen nach außen übermittelt werden. Die Datenkontrolle bleibt damit vollständig beim Betreiber. Özmen betont das als bewusste Designentscheidung: “Nur so können Unternehmen und Entwickler das volle Potenzial dieser Technologien verantwortungsvoll nutzen.”
Für Sicherheitsverantwortliche bietet ClawSec zudem strukturierte Berichte über eingesetzte Skills, Konfigurationsänderungen und mögliche Datenabflüsse. Das schaffe eine Grundlage, um interne Richtlinien durchzusetzen und regulatorische Anforderungen zu erfüllen.
Open Source, ab sofort verfügbar
ClawSec ist ab sofort kostenlos auf GitHub erhältlich. Entwickler können eigene Sicherheits-Skills einreichen, die nach Prüfung und Signierung in einen gemeinsamen Katalog aufgenommen werden. SentinelOne positioniert das Projekt ausdrücklich als Community-Initiative. Mit ClawSec wolle man, so Özmen, “erstmals eine Sicherheitsbasis schaffen, die nicht nur reagiert, sondern schon beim Aufbau von Agenten ansetzt.”
