Gesponsert von Midjourney for Slack - Bringen Sie KI-generierte Bilder direkt in Ihren Slack-Arbeitsbereich mit Midjourney für Slack.
Midjourney for Slack - Bringen Sie KI-generierte Bilder direkt in Ihren Slack-Arbeitsbereich mit Midjourney für Slack.
Creati.ai
KI-Tools KI-Agenten MCP KI-NewsRanking Einreichen & Werben
Anmelden
AI News

Der Ikarus-Moment für autonome Agenten (autonomous agents)

Das Versprechen eines wirklich autonomen KI-Assistenten (autonomous AI assistant) — eines Assistenten, der auf Ihrem Rechner lebt, Ihren Kalender verwaltet, Ihre E-Mails verhandelt und Ihre Flüge bucht — ist in Form von OpenClaw effektiv eingetroffen. Früher bekannt als Clawdbot und Moltbot, hat dieses Open-Source-Projekt GitHub-Wachstumsrekorde zerschmettert und in nur wenigen Monaten über 149.000 Sterne angehäuft. Es versprach, die „Hände“ für große Sprachmodelle (large language models) zu sein, ihnen die Fähigkeit zu geben, im Namen ihrer menschlichen Benutzer Code auszuführen und mit der realen Welt zu interagieren.

Allerdings ist dieses Versprechen heftig mit den Realitäten der Cybersicherheit (cybersecurity) kollidiert. Stand 2. Februar 2026 ringt die KI-Community (AI community) mit einer kritischen Sicherheitskrise. OpenClaw wurde als anfällig eingestuft: schwere Schwachstellen erlauben Angreifern, die vollständige Kontrolle über den Computer eines Nutzers durch einen einzigen bösartigen Link zu übernehmen. Sicherheitsexperten nennen dies ein „Albtraum-Szenario“ für die lokale Ausführung von KI (local AI execution) und heben einen verheerenden Logikfehler hervor, der als CVE-2026-25253 katalogisiert ist.

Für das Team von Creati.ai ist dieses Ereignis eine eindringliche Erinnerung: Die Eile, KI-Agenten „Hände“ zu geben, überspringt oft die nötigen „Handschuhe“, um Daten sicher zu handhaben. Während der Nutzen von OpenClaw unbestreitbar ist, hat seine Architektur Tausende von Early Adopters einer Remote-Code-Ausführung (remote code execution, RCE), Datenexfiltration und einem wachsenden Ökosystem von mit Malware durchsetzten „Skills“ (skills) ausgesetzt.

Von „Moltbot“ zum Malware-Magneten

Der Verlauf von OpenClaw war alles andere als geradlinig. Ursprünglich als Clawdbot vom österreichischen Entwickler Peter Steinberger veröffentlicht, wurde das Projekt nach Markenrechtsstreitigkeiten mit Anthropic zu einer Umbenennung gezwungen. Es trat kurz als Moltbot auf, bevor es sich auf OpenClaw einigte. Trotz der Identitätskrise blieb das Kernangebot verlockend: ein Agent, der lokal läuft, seine Daten besitzt und mit beliebten Messaging-Apps wie Telegram, Signal und WhatsApp Schnittstellen nutzt, um komplexe Aufgaben zu erledigen.

Im Gegensatz zu SaaS-basierten Assistenten, die in der Cloud leben, läuft OpenClaw auf der Infrastruktur des Nutzers — typischerweise einem Mac mini oder einem Heimserver. Dieser „Local-First“-Ansatz wurde als Privatsphäre-Gewinn angepriesen. Ironischerweise ist er zur Achillesferse des Projekts geworden. Indem einem KI-Agenten hohe Systemprivilegien gewährt werden — einschließlich Shell-Zugriff und Lese-/Schreibrechte auf das Dateisystem — ohne einen robusten Sandbox-Schutz (Sandbox), haben Nutzer ihre Maschinen unbeabsichtigt in offene Ziele verwandelt.

Anatomie des CVE-2026-25253-Exploits

Die Schwachstelle, entdeckt von Mav Levin von DepthFirst, ist ein Lehrstück dafür, wie Logikfehler gefährlicher sein können als Speicherfehler. Mit einem CVSS-Wert von 8,8 wird CVE-2026-25253 als eine „Token-Exfiltrations-Schwachstelle, die zu einer vollständigen Gateway-Kompromittierung führt“, beschrieben.

Der One-Click-Albtraum

Der Fehler liegt in der Art und Weise, wie die Control-UI von OpenClaw eingehende Verbindungen verarbeitet. Die Anwendung war so konzipiert, dass sie einen gatewayUrl-Parameter über eine Query-String-URL akzeptiert. Kritisch ist, dass diesem Parameter ohne Validierung vertraut wurde.

Wenn ein Nutzer auf einen präparierten Link klickt — vielleicht getarnt als „coole neue Agenten-Fähigkeit“ oder ein geteilter Moltbook-Beitrag — versucht die OpenClaw-Oberfläche automatisch, eine WebSocket-Verbindung zum Server in dieser URL herzustellen. Dabei überträgt sie das Authentifizierungs-Token (authentication token) des Nutzers im Verbindungs-Payload.

Ein Angreifer muss lediglich einen bösartigen WebSocket-Server hosten und einen Nutzer dazu bringen, auf einen Link zu klicken, der darauf zeigt. Sobald die Verbindung hergestellt ist, fängt der Angreifer das Auth-Token ab. Mit diesem Token kann er das lokale Gateway des Nutzers imitieren. Von dort arbeitet der „Agent“ effektiv für den Angreifer. Er kann die Konfiguration des Agents ändern, das wenig vorhandene Sandboxing deaktivieren und privilegierte Aktionen aufrufen. Da OpenClaw so gestaltet ist, dass es Shell-Befehle ausführt, um „nützlich“ zu sein, erreicht der Angreifer eine 1-Click-RCE (1-click RCE), wodurch er in der Lage ist, beliebige Befehle auf dem Rechner des Opfers auszuführen.

Steinberger und das Wartungsteam haben in Version 2026.1.29 einen Patch veröffentlicht, aber die dezentrale Natur des Projekts bedeutet, dass Tausende von Instanzen weiterhin ungepatcht und exponiert sind.

Das „Moltbook“-Phänomen: Ein Spielplatz für Botnets?

Zur Verschärfung des Sicherheitsversagens ist das Entstehen von Moltbook hinzugekommen, einem sozialen Netzwerk, das ausschließlich für KI-Agenten gebaut wurde. Als „die Startseite des Agenten-Internets“ getaggt, beschränkt es Posting-Rechte auf verifizierte OpenClaw-Instanzen. Obwohl es als Experiment für KI-zu-KI-Sozialinteraktion gedacht war (sogar die Entstehung einer bizarren Parodie-Religion namens „Crustafarianism“), ist es schnell zu einem Vektor für Malware-Verbreitung verkommen.

Da Agenten auf Moltbook Inhalte automatisch lesen und verarbeiten, um „sozial zu interagieren“, sind sie anfällig für Prompt-Injection (prompt injection)-Angriffe. Sicherheitsforscher haben gezeigt, dass bösartige Beiträge auf Moltbook versteckte Anweisungen enthalten können — Text, der für Menschen oft unsichtbar ist, aber für LLMs lesbar — und den lesenden Agenten dazu bringen, bösartigen Code herunterzuladen und auszuführen.

Dies hat zu einem Supply-Chain-Angriff auf das „Skills“-Register geführt. Ähnlich den NPM- oder PyPI-Ökosystem-Angriffen der Vergangenheit veröffentlichen böswillige Akteure „Skills“ (skills) (Plugins, die die Fähigkeiten des Agenten erweitern), die Hintertüren enthalten. Ein Agent, der Moltbook durchsucht, könnte dazu verleitet werden, ein „Weather Checker“-Skill zu installieren, das stillschweigend eine Reverse-Shell (reverse shell) zu einem Command-and-Control-Server (command-and-control server) öffnet.

Sicherheit vs. Nutzen: Die Perspektive von Creati.ai

Der OpenClaw-Vorfall veranschaulicht die „Tödliche Trinität“ der KI-Sicherheitsrisiken:

  1. Zugriff auf sensible Daten: Der Agent hat Zugang zu E-Mails, Kalendern und Dateien.
  2. Externe Exposition: Der Agent verarbeitet nicht vertrauenswürdige Inhalte aus dem Web und Messaging-Apps.
  3. Externe Ausgabe: Der Agent kann extern kommunizieren und Code ausführen.

Wenn diese drei Punkte ohne strikte Isolation zusammenkommen, ist eine Katastrophe unvermeidlich. Traditionelle Anwendungen verlassen sich auf das Betriebssystem, um Berechtigungen durchzusetzen (das „User“-Modell). OpenClaw operiert jedoch als der Benutzer selbst und umgeht diese Kontrollen. Wenn der Agent getäuscht wird, sieht das OS die Aktion als eine legitime vom Benutzer ausgeführte Handlung.

Vergleich von Agentenarchitekturen (Agent Security Architecture Comparison)

Feature OpenClaw (Local/Open Source) Enterprise Secure Agent Standards
Execution Environment Host-OS (Benutzer-Level) Ephemere Sandbox-Container (Ephemeral Sandboxed Containers)
Auth Token Handling Übertragung im WebSocket-Payload HttpOnly-Cookies (HttpOnly Cookies) / kurzlebiges OAuth (Short-lived OAuth)
Input Validation Minimal (vertraut Query-Params) Strikte Schema-Validierung & Sanitierung
Tool Permissions Voller Shell-Zugriff (Standard) Nur erlaubte API-Aufrufe
Network Access Unbeschränkter ausgehender Zugriff Zero-Trust-Netzwerkzugang (Zero Trust Network Access, ZTNA)
Prompt Handling Direkte LLM-Injektion (Direct LLM Injection) Eingangsfilterung & „Mensch in der Schleife“ (Human in the Loop)

Sofortmaßnahmen für OpenClaw-Nutzer

Wenn Sie eine Instanz von OpenClaw (oder Clawdbot/Moltbot) betreiben, empfiehlt Creati.ai sofortige Abhilfemaßnahmen zum Schutz Ihrer Infrastruktur.

  1. Sofort aktualisieren: Stellen Sie sicher, dass Sie Version 2026.1.29 oder höher verwenden. Diese Version entfernt die Auto-Connect-Logik für den gatewayUrl-Parameter.
  2. Zugangsdaten rotieren: Wenn Sie jemals auf einen Link geklickt haben, während Ihr Agent lief, gehen Sie davon aus, dass Ihr Gateway-Token kompromittiert ist. Generieren Sie Ihre Authentifizierungs-Token und API-Schlüssel neu (OpenAI, Anthropic usw.).
  3. Umgebung isolieren: Betreiben Sie OpenClaw nicht auf Ihrer primären Produktionsmaschine. Verwenden Sie eine dedizierte Virtuelle Maschine (VM) oder einen Container, der keinen Zugriff auf Ihre persönlichen Dateien oder Ihr primäres Heimnetzwerk hat.
  4. Installierte Skills prüfen: Überprüfen Sie das skills-Verzeichnis. Entfernen Sie alle Drittanbieter-Skills, die nicht auditiert wurden oder die automatisch über Moltbook-Interaktionen installiert wurden.
  5. WebSockets deaktivieren: Wenn Sie keine Fernsteuerung über Messaging-Apps benötigen, deaktivieren Sie das WebSocket-Gateway vollständig in der Konfigurationsdatei.

Die Ära der autonomen Agenten ist da, aber OpenClaw dient als schmerzhafte Lektion im Kompromiss zwischen Bequemlichkeit und Sicherheit. Bis die Architektur soweit entwickelt ist, dass „Agentenaktionen“ mit derselben Skepsis wie „untrusted code“ behandelt werden, müssen Nutzer wachsam bleiben. Die „Hände“ der KI sind mächtig, aber ohne Handschellen können sie sich leicht gegen ihre Meister wenden.

3. Februar 2026
CybersicherheitKI-AgentenOpenClawKI-SicherheitOpen-Source-KI
cnbc.com
zdnet.com
pcmag.com
Ausgewählt
AI PDF chatbot agent built with LangChain & LangGraph
AI PDF chatbot agent built with LangChain & LangGraph
SharkFoto bietet kostenlose KI-gestützte Foto-Bearbeitungstools für Hintergrundentfernung, Kolorierung, Verbesserung und Größenänderung von Bildern an.
Astro Answer New Tab
Astro Answer New Tab
Entdecken Sie Astrologie mit personalisierten, von KI generierten Horoskopen.
Ad Auris Play
Ad Auris Play
Verwandeln Sie Artikel mühelos in Audio mit Ad Auris Play.
ex ads 202603311112
ex ads 202603311112
1111111111111
BlazeGard
BlazeGard
Blazeguard bietet unparalleled Brandschutz durch innovative feuerfeste Verkleidungstechnologie.
amy
amy
Amy ist ein umfassender Arbeitsplatzassistent, der Aufgaben rationalisiert, Meetings plant und Projekte verwaltet.
AI Bot Eye
AI Bot Eye
Verwandeln Sie Ihre Sicherheit mit KI-gesteuerter Überwachungstechnologie.
Gptzero me
Gptzero me
GPTZero ist ein Tool zur genauen und einfachen Erkennung von KI-generierten Texten.
BGRemover
BGRemover
Entfernen Sie ganz einfach Hintergründe von Bildern online mit SharkFoto BGRemover.
sharkfoto-20250108-free
sharkfoto-20250108-free
AI-powered tool for background removal and image conversion in over 200 formats.
sharkfoto agent test 202510111844
sharkfoto agent test 202510111844
SharkFoto offers AI-powered free photo editing tools including background removal and colorization.
WorkViz
WorkViz
Workviz: Eine KI-gestützte Plattform zur Optimierung der Teamleistung durch umfassende Analysen.
FreeAiKit
FreeAiKit
FreeAiKit bietet eine Sammlung kostenloser AI-Tools für verschiedene Content-Erstellungsbedürfnisse.
TAROT ARCANA
TAROT ARCANA
Enthüllen Sie Ihre Zukunft mit Tarot Arcana, einer KI-gestützten Tarot-Lese-App.
Skywork
Skywork
Skywork verwandelt einfache Eingaben in multimodale Inhalte wie Berichte und Folien.
Sharkfoto Quick 091801
Sharkfoto Quick 091801
SharkFoto offers free AI-powered image editing tools including background removal and photo colorization.
blockbank
blockbank
All-in-One-Krypto-Neo-Banking-App, die DeFi- und CeFi-Technologien kombiniert.
GottaMeme. AI Meme Generator
GottaMeme. AI Meme Generator
Erstellen Sie mühelos lustige Memes mit dem KI-gestützten Generator von GottaMeme.
TextPal
TextPal
TextPal nutzt KI, um Webseitentexte mühelos zusammenzufassen und zu verwalten.
kimi quick test 20250417-121312223
kimi quick test 20250417-121312223
Eine innovative Plattform zur Steigerung der persönlichen Produktivität.
Recap
Recap
Fassen Sie jeden Abschnitt einer Webseite ganz einfach mit Recap zusammen, einer Open-Source-Browsererweiterung, die ChatGPT nutzt.
Udemy Summary with ChatGPT
Udemy Summary with ChatGPT
Fassen Sie Udemy-Videos mit ChatGPT zusammen und machen Sie mühelos Notizen.
Durable AI
Durable AI
KI-gesteuerter Website-Builder, um Ihr Unternehmen in 30 Sekunden online zu bringen.
Tappy AI
Tappy AI
AI-Browsererweiterung zum Hinzufügen von durchdachten Kommentaren zu LinkedIn-Posts.
Audioread: Ultra-Realistic Text-to-Speech
Audioread: Ultra-Realistic Text-to-Speech
Hören Sie Artikel mit ultra-realistischen KI-Stimmen.
AlgoDocs
AlgoDocs
AlgoDocs: KI-gestützte Dokumentendatenextraktion leicht gemacht.
GPTXtend
GPTXtend
Verbessern Sie Ihr ChatGPT-Erlebnis mit leistungsstarken Sharing-Tools.
Letz DM
Letz DM
Automatisiere das Influencer-Marketing auf TikTok ohne Aufwand.

OpenClaw KI-Agent geht viral trotz kritischer Sicherheitslücken und Malware-Bedrohungen

OpenClaw, der Open-Source-KI-Agent, der E-Mails autonom verwalten, im Web browsen und Ihren Computer steuern kann, ist explosionsartig populär geworden, aber Sicherheitsexperten warnen vor offengelegten Zugangsdaten, Prompt-Injection-Angriffen und Hunderten bösartiger Pakete.