Gesponsert von BlazeGard - Blazeguard bietet unparalleled Brandschutz durch innovative feuerfeste Verkleidungstechnologie.
BlazeGard - Blazeguard bietet unparalleled Brandschutz durch innovative feuerfeste Verkleidungstechnologie.
icon
KI-Tools KI-Agenten MCP KI-NewsRanking Einreichen & Werben
Anmelden
AI News

Der Ikarus-Moment für autonome Agenten (autonomous agents)

Das Versprechen eines wirklich autonomen KI-Assistenten (autonomous AI assistant) — eines Assistenten, der auf Ihrem Rechner lebt, Ihren Kalender verwaltet, Ihre E-Mails verhandelt und Ihre Flüge bucht — ist in Form von OpenClaw effektiv eingetroffen. Früher bekannt als Clawdbot und Moltbot, hat dieses Open-Source-Projekt GitHub-Wachstumsrekorde zerschmettert und in nur wenigen Monaten über 149.000 Sterne angehäuft. Es versprach, die „Hände“ für große Sprachmodelle (large language models) zu sein, ihnen die Fähigkeit zu geben, im Namen ihrer menschlichen Benutzer Code auszuführen und mit der realen Welt zu interagieren.

Allerdings ist dieses Versprechen heftig mit den Realitäten der Cybersicherheit (cybersecurity) kollidiert. Stand 2. Februar 2026 ringt die KI-Community (AI community) mit einer kritischen Sicherheitskrise. OpenClaw wurde als anfällig eingestuft: schwere Schwachstellen erlauben Angreifern, die vollständige Kontrolle über den Computer eines Nutzers durch einen einzigen bösartigen Link zu übernehmen. Sicherheitsexperten nennen dies ein „Albtraum-Szenario“ für die lokale Ausführung von KI (local AI execution) und heben einen verheerenden Logikfehler hervor, der als CVE-2026-25253 katalogisiert ist.

Für das Team von Creati.ai ist dieses Ereignis eine eindringliche Erinnerung: Die Eile, KI-Agenten „Hände“ zu geben, überspringt oft die nötigen „Handschuhe“, um Daten sicher zu handhaben. Während der Nutzen von OpenClaw unbestreitbar ist, hat seine Architektur Tausende von Early Adopters einer Remote-Code-Ausführung (remote code execution, RCE), Datenexfiltration und einem wachsenden Ökosystem von mit Malware durchsetzten „Skills“ (skills) ausgesetzt.

Von „Moltbot“ zum Malware-Magneten

Der Verlauf von OpenClaw war alles andere als geradlinig. Ursprünglich als Clawdbot vom österreichischen Entwickler Peter Steinberger veröffentlicht, wurde das Projekt nach Markenrechtsstreitigkeiten mit Anthropic zu einer Umbenennung gezwungen. Es trat kurz als Moltbot auf, bevor es sich auf OpenClaw einigte. Trotz der Identitätskrise blieb das Kernangebot verlockend: ein Agent, der lokal läuft, seine Daten besitzt und mit beliebten Messaging-Apps wie Telegram, Signal und WhatsApp Schnittstellen nutzt, um komplexe Aufgaben zu erledigen.

Im Gegensatz zu SaaS-basierten Assistenten, die in der Cloud leben, läuft OpenClaw auf der Infrastruktur des Nutzers — typischerweise einem Mac mini oder einem Heimserver. Dieser „Local-First“-Ansatz wurde als Privatsphäre-Gewinn angepriesen. Ironischerweise ist er zur Achillesferse des Projekts geworden. Indem einem KI-Agenten hohe Systemprivilegien gewährt werden — einschließlich Shell-Zugriff und Lese-/Schreibrechte auf das Dateisystem — ohne einen robusten Sandbox-Schutz (Sandbox), haben Nutzer ihre Maschinen unbeabsichtigt in offene Ziele verwandelt.

Anatomie des CVE-2026-25253-Exploits

Die Schwachstelle, entdeckt von Mav Levin von DepthFirst, ist ein Lehrstück dafür, wie Logikfehler gefährlicher sein können als Speicherfehler. Mit einem CVSS-Wert von 8,8 wird CVE-2026-25253 als eine „Token-Exfiltrations-Schwachstelle, die zu einer vollständigen Gateway-Kompromittierung führt“, beschrieben.

Der One-Click-Albtraum

Der Fehler liegt in der Art und Weise, wie die Control-UI von OpenClaw eingehende Verbindungen verarbeitet. Die Anwendung war so konzipiert, dass sie einen gatewayUrl-Parameter über eine Query-String-URL akzeptiert. Kritisch ist, dass diesem Parameter ohne Validierung vertraut wurde.

Wenn ein Nutzer auf einen präparierten Link klickt — vielleicht getarnt als „coole neue Agenten-Fähigkeit“ oder ein geteilter Moltbook-Beitrag — versucht die OpenClaw-Oberfläche automatisch, eine WebSocket-Verbindung zum Server in dieser URL herzustellen. Dabei überträgt sie das Authentifizierungs-Token (authentication token) des Nutzers im Verbindungs-Payload.

Ein Angreifer muss lediglich einen bösartigen WebSocket-Server hosten und einen Nutzer dazu bringen, auf einen Link zu klicken, der darauf zeigt. Sobald die Verbindung hergestellt ist, fängt der Angreifer das Auth-Token ab. Mit diesem Token kann er das lokale Gateway des Nutzers imitieren. Von dort arbeitet der „Agent“ effektiv für den Angreifer. Er kann die Konfiguration des Agents ändern, das wenig vorhandene Sandboxing deaktivieren und privilegierte Aktionen aufrufen. Da OpenClaw so gestaltet ist, dass es Shell-Befehle ausführt, um „nützlich“ zu sein, erreicht der Angreifer eine 1-Click-RCE (1-click RCE), wodurch er in der Lage ist, beliebige Befehle auf dem Rechner des Opfers auszuführen.

Steinberger und das Wartungsteam haben in Version 2026.1.29 einen Patch veröffentlicht, aber die dezentrale Natur des Projekts bedeutet, dass Tausende von Instanzen weiterhin ungepatcht und exponiert sind.

Das „Moltbook“-Phänomen: Ein Spielplatz für Botnets?

Zur Verschärfung des Sicherheitsversagens ist das Entstehen von Moltbook hinzugekommen, einem sozialen Netzwerk, das ausschließlich für KI-Agenten gebaut wurde. Als „die Startseite des Agenten-Internets“ getaggt, beschränkt es Posting-Rechte auf verifizierte OpenClaw-Instanzen. Obwohl es als Experiment für KI-zu-KI-Sozialinteraktion gedacht war (sogar die Entstehung einer bizarren Parodie-Religion namens „Crustafarianism“), ist es schnell zu einem Vektor für Malware-Verbreitung verkommen.

Da Agenten auf Moltbook Inhalte automatisch lesen und verarbeiten, um „sozial zu interagieren“, sind sie anfällig für Prompt-Injection (prompt injection)-Angriffe. Sicherheitsforscher haben gezeigt, dass bösartige Beiträge auf Moltbook versteckte Anweisungen enthalten können — Text, der für Menschen oft unsichtbar ist, aber für LLMs lesbar — und den lesenden Agenten dazu bringen, bösartigen Code herunterzuladen und auszuführen.

Dies hat zu einem Supply-Chain-Angriff auf das „Skills“-Register geführt. Ähnlich den NPM- oder PyPI-Ökosystem-Angriffen der Vergangenheit veröffentlichen böswillige Akteure „Skills“ (skills) (Plugins, die die Fähigkeiten des Agenten erweitern), die Hintertüren enthalten. Ein Agent, der Moltbook durchsucht, könnte dazu verleitet werden, ein „Weather Checker“-Skill zu installieren, das stillschweigend eine Reverse-Shell (reverse shell) zu einem Command-and-Control-Server (command-and-control server) öffnet.

Sicherheit vs. Nutzen: Die Perspektive von Creati.ai

Der OpenClaw-Vorfall veranschaulicht die „Tödliche Trinität“ der KI-Sicherheitsrisiken:

  1. Zugriff auf sensible Daten: Der Agent hat Zugang zu E-Mails, Kalendern und Dateien.
  2. Externe Exposition: Der Agent verarbeitet nicht vertrauenswürdige Inhalte aus dem Web und Messaging-Apps.
  3. Externe Ausgabe: Der Agent kann extern kommunizieren und Code ausführen.

Wenn diese drei Punkte ohne strikte Isolation zusammenkommen, ist eine Katastrophe unvermeidlich. Traditionelle Anwendungen verlassen sich auf das Betriebssystem, um Berechtigungen durchzusetzen (das „User“-Modell). OpenClaw operiert jedoch als der Benutzer selbst und umgeht diese Kontrollen. Wenn der Agent getäuscht wird, sieht das OS die Aktion als eine legitime vom Benutzer ausgeführte Handlung.

Vergleich von Agentenarchitekturen (Agent Security Architecture Comparison)

Feature OpenClaw (Local/Open Source) Enterprise Secure Agent Standards
Execution Environment Host-OS (Benutzer-Level) Ephemere Sandbox-Container (Ephemeral Sandboxed Containers)
Auth Token Handling Übertragung im WebSocket-Payload HttpOnly-Cookies (HttpOnly Cookies) / kurzlebiges OAuth (Short-lived OAuth)
Input Validation Minimal (vertraut Query-Params) Strikte Schema-Validierung & Sanitierung
Tool Permissions Voller Shell-Zugriff (Standard) Nur erlaubte API-Aufrufe
Network Access Unbeschränkter ausgehender Zugriff Zero-Trust-Netzwerkzugang (Zero Trust Network Access, ZTNA)
Prompt Handling Direkte LLM-Injektion (Direct LLM Injection) Eingangsfilterung & „Mensch in der Schleife“ (Human in the Loop)

Sofortmaßnahmen für OpenClaw-Nutzer

Wenn Sie eine Instanz von OpenClaw (oder Clawdbot/Moltbot) betreiben, empfiehlt Creati.ai sofortige Abhilfemaßnahmen zum Schutz Ihrer Infrastruktur.

  1. Sofort aktualisieren: Stellen Sie sicher, dass Sie Version 2026.1.29 oder höher verwenden. Diese Version entfernt die Auto-Connect-Logik für den gatewayUrl-Parameter.
  2. Zugangsdaten rotieren: Wenn Sie jemals auf einen Link geklickt haben, während Ihr Agent lief, gehen Sie davon aus, dass Ihr Gateway-Token kompromittiert ist. Generieren Sie Ihre Authentifizierungs-Token und API-Schlüssel neu (OpenAI, Anthropic usw.).
  3. Umgebung isolieren: Betreiben Sie OpenClaw nicht auf Ihrer primären Produktionsmaschine. Verwenden Sie eine dedizierte Virtuelle Maschine (VM) oder einen Container, der keinen Zugriff auf Ihre persönlichen Dateien oder Ihr primäres Heimnetzwerk hat.
  4. Installierte Skills prüfen: Überprüfen Sie das skills-Verzeichnis. Entfernen Sie alle Drittanbieter-Skills, die nicht auditiert wurden oder die automatisch über Moltbook-Interaktionen installiert wurden.
  5. WebSockets deaktivieren: Wenn Sie keine Fernsteuerung über Messaging-Apps benötigen, deaktivieren Sie das WebSocket-Gateway vollständig in der Konfigurationsdatei.

Die Ära der autonomen Agenten ist da, aber OpenClaw dient als schmerzhafte Lektion im Kompromiss zwischen Bequemlichkeit und Sicherheit. Bis die Architektur soweit entwickelt ist, dass „Agentenaktionen“ mit derselben Skepsis wie „untrusted code“ behandelt werden, müssen Nutzer wachsam bleiben. Die „Hände“ der KI sind mächtig, aber ohne Handschellen können sie sich leicht gegen ihre Meister wenden.

3. Februar 2026
CybersicherheitKI-AgentenOpenClawKI-SicherheitOpen-Source-KI
cnbc.com
zdnet.com
pcmag.com
Ausgewählt
ex ads 202603311112
1111111111111
BlazeGard
Blazeguard bietet unparalleled Brandschutz durch innovative feuerfeste Verkleidungstechnologie.
Test Face Swap
Test Face Swap Test Face Swap Test Face Swap Test Face Swap Test Face Swap Test Face Swap
Midjourney for Slack
Bringen Sie KI-generierte Bilder direkt in Ihren Slack-Arbeitsbereich mit Midjourney für Slack.
AI Bot Eye
Verwandeln Sie Ihre Sicherheit mit KI-gesteuerter Überwachungstechnologie.
amy
Amy ist ein umfassender Arbeitsplatzassistent, der Aufgaben rationalisiert, Meetings plant und Projekte verwaltet.
sharkfoto-20250108-quick
Remove background from the image with just one click and convert the image to or from 200+ formats.
test 2 face swap 2
test 2 face swap 2test 2 face swap 2test 2 face swap 2test 2 face swap 2test 2 face swap 2test 2 face swap 2test 2 face
Gptzero me
GPTZero ist ein Tool zur genauen und einfachen Erkennung von KI-generierten Texten.
sharkfoto-20250108-free
AI-powered tool for background removal and image conversion in over 200 formats.
BGRemover
Entfernen Sie ganz einfach Hintergründe von Bildern online mit SharkFoto BGRemover.
sharkfoto agent test 202510111844
SharkFoto offers AI-powered free photo editing tools including background removal and colorization.
WorkViz
Workviz: Eine KI-gestützte Plattform zur Optimierung der Teamleistung durch umfassende Analysen.
FreeAiKit
FreeAiKit bietet eine Sammlung kostenloser AI-Tools für verschiedene Content-Erstellungsbedürfnisse.
TAROT ARCANA
Enthüllen Sie Ihre Zukunft mit Tarot Arcana, einer KI-gestützten Tarot-Lese-App.
Skywork
Skywork verwandelt einfache Eingaben in multimodale Inhalte wie Berichte und Folien.
sharkfoto svip 20250715
BrowseGPTs
Täglich aktualisierter Katalog für verschiedene ChatGPT-Modelle.
blockbank
All-in-One-Krypto-Neo-Banking-App, die DeFi- und CeFi-Technologien kombiniert.
Sharkfoto Quick 091801
SharkFoto offers free AI-powered image editing tools including background removal and photo colorization.
Neuronwriter
Fortschrittliches Tool zur Inhaltsoptimierung mit semantischen Modellen.
Novel
Novel hilft Ihnen, ein umfassendes professionelles Profil zu erstellen.
AI Fortunist (AI-Powered Tarot Readings)
AI Fortunist bietet personalisierte Tarot-Lesungen, Kaffee-Lesungen und Trauminterpretationen mithilfe fortschrittlicher KI.
ParrotPDF
ParrotPDF ermöglicht es Benutzern, interaktiv mit PDF-Dateien zu arbeiten.
Flove
Flove ist eine minimalistische Bewegungsverfolgungs-App mit innovativen Funktionen.
Franklin AI
KI-Tool zur Rationalisierung von Geschäftsabläufen und zur Verbesserung der Entscheidungsfindung.
Durable AI
KI-gesteuerter Website-Builder, um Ihr Unternehmen in 30 Sekunden online zu bringen.
JungGPT
Ein KI-Tool für emotionale Reflexion und psychologische Einsichten.
ChartX
AI-gestützte medizinische Dokumentation für effiziente und genaue Patientenversorgung.
eztalks-20250226-0424003
Entfernen Sie Hintergründe aus Bildern und konvertieren Sie Bildformate mühelos mit SharkFoto.
Udemy Summary with ChatGPT
Fassen Sie Udemy-Videos mit ChatGPT zusammen und machen Sie mühelos Notizen.
Astro Answer New Tab
Entdecken Sie Astrologie mit personalisierten, von KI generierten Horoskopen.
aiBot копирайтер
Verbessern Sie mühelos Ihren Text mit aiBot копирайтер.
PageSage
PageSage vereinfacht das Surfen im Web, indem es sofort Fragen und Antworten generiert.
GPU Finder
GPU Finder hilft dabei, verfügbare GPU-Instanzen von globalen öffentlichen Cloud-Anbietern zu entdecken.
Skyworker
KI-gesteuerte Plattform für technische Jobuchsuchende und Recruiter.
Craft
Craft ist ein leistungsstarkes Dokumentenerstellungs- und Kollaborationstool für Teams und Einzelpersonen.
GottaMeme. AI Meme Generator
Erstellen Sie mühelos lustige Memes mit dem KI-gestützten Generator von GottaMeme.
Recap
Fassen Sie jeden Abschnitt einer Webseite ganz einfach mit Recap zusammen, einer Open-Source-Browsererweiterung, die ChatGPT nutzt.
kimi quick test 20250417-121312223
Eine innovative Plattform zur Steigerung der persönlichen Produktivität.
Magazine Luiza
Effizienter Einkaufsassistent für Magazine Luiza-Nutzer.
sharkfoto svip test 202512241034
SharkFoto ist eine KI-gestützte Plattform zum mühelosen Erstellen und Bearbeiten von Videos, Bildern und Musik.
Bigjpg AI
Bigjpg verbessert die Bildqualität durch fortschrittliches KI-Hochskalieren.
kimi test 20250328-3
Verbessern, verwandeln und bearbeiten Sie Bilder mit KI-gestützten Tools kostenlos.
viddo.ai
Veo3 by Viddo AI enables AI-powered text or image to high-quality video creation rapidly.
Simplifly
Fassen Sie lange Artikel mit Simplifly einfach zusammen.
BearGPT - Chatgpt Enhancer
Verbessern Sie Ihr ChatGPT-Erlebnis mit BearGPT für eine bessere Navigation und Anpassung.
2026 Face Swap
2026 Face Wwap2026 Face Wwap2026 Face Wwap2026 Face Wwap2026 Face Wwap2026 Face Wwap2026 Face Wwap2026 Face Wwap2026 Fac
TextPal
TextPal nutzt KI, um Webseitentexte mühelos zusammenzufassen und zu verwalten.
AlgoDocs
AlgoDocs: KI-gestützte Dokumentendatenextraktion leicht gemacht.
Audioread: Ultra-Realistic Text-to-Speech
Hören Sie Artikel mit ultra-realistischen KI-Stimmen.
GPTXtend
Verbessern Sie Ihr ChatGPT-Erlebnis mit leistungsstarken Sharing-Tools.
Free Email Extractor from Website
Kostenloses E-Mail-Extraktionswerkzeug zum Scraping von E-Mails, Telefonnummern und sozialen Profilen von Webseiten.
Skypher
Optimieren Sie Ihre Sicherheitsprüfungen mit der Automatisierung von Skypher.
AI PDF chatbot agent built with LangChain & LangGraph
SharkFoto bietet kostenlose KI-gestützte Foto-Bearbeitungstools für Hintergrundentfernung, Kolorierung, Verbesserung und Größenänderung von Bildern an.
Wan 2.2-test
Wan 2 AI offers fast, high-quality 1080p AI video generation with advanced motion control.
Tappy AI
AI-Browsererweiterung zum Hinzufügen von durchdachten Kommentaren zu LinkedIn-Posts.
sharkfoto-svip-092202
SharkFoto offers free AI-powered image editing tools like background removal and coloring.
Letz DM
Automatisiere das Influencer-Marketing auf TikTok ohne Aufwand.
Belly Buddy
Verfolge die Nahrungsaufnahme und Verdauungssymptome mit Belly Buddy.
sharkfoto svip test 202509221443
SharkFoto offers free AI-powered photo editing tools for automatic background removal and image enhancement.
sharkfoto-svip-0922-changename
SharkFoto bietet kostenlose KI-gestützte Fotowerkzeuge, um Hintergründe automatisch zu entfernen und Bilder zu verbessern.
Alltum
Organisiert E-Mails, Aufgaben und Dateien mit KI-gestütztem Projektmanagement.

OpenClaw KI-Agent geht viral trotz kritischer Sicherheitslücken und Malware-Bedrohungen

OpenClaw, der Open-Source-KI-Agent, der E-Mails autonom verwalten, im Web browsen und Ihren Computer steuern kann, ist explosionsartig populär geworden, aber Sicherheitsexperten warnen vor offengelegten Zugangsdaten, Prompt-Injection-Angriffen und Hunderten bösartiger Pakete.