Ressourcen filtern

Blog

Die OpenClaw Security-Krise

OpenClaw ist ein Open Source Framework für selbst gehostete KI Agenten, das Ende Januar 2026 innerhalb kürzester Zeit große Verbreitung erreichte. Das Projekt überschritt die Marke von 180.000 GitHub Sternen und verzeichnete mehr als zwei Millionen Besucher innerhalb einer Woche. Ursprünglich wurde es im November 2025 unter dem Namen Clawdbot vom österreichischen Entwickler Peter Steinberger […]

17 Minuten Lesezeit

Die OpenClaw Security-Krise – featured image

OpenClaw ist ein Open Source Framework für selbst gehostete KI Agenten, das Ende Januar 2026 innerhalb kürzester Zeit große Verbreitung erreichte. Das Projekt überschritt die Marke von 180.000 GitHub Sternen und verzeichnete mehr als zwei Millionen Besucher innerhalb einer Woche. Ursprünglich wurde es im November 2025 unter dem Namen Clawdbot vom österreichischen Entwickler Peter Steinberger veröffentlicht und nach markenrechtlichen Anpassungen mehrfach umbenannt. Am 14. Februar 2026 kündigte Steinberger seinen Wechsel zu OpenAI an, wo er künftig die Entwicklung persönlicher KI Agenten verantwortet. Gleichzeitig wurde OpenClaw in eine unabhängige Stiftung überführt, die von OpenAI unterstützt wird.

Die Attraktivität des Frameworks liegt in seiner klaren Funktion. OpenClaw ermöglicht einen dauerhaft verfügbaren KI-Assistenten, der lokal betrieben wird und über vertraute Plattformen wie WhatsApp, Telegram, Slack oder Discord erreichbar ist. Dadurch kann der Agent eigenständig Aufgaben ausführen, E Mails verwalten, Terminal Befehle ausführen, Webinhalte abrufen oder verbundene Dienste steuern. Damit entwickelt sich der KI Agent von einem reaktiven Werkzeug zu einem aktiven Bestandteil der digitalen Infrastruktur.

Gerade diese Autonomie macht solche Systeme zu einem relevanten Angriffsziel. Autonome KI-Agenten erweitern die Angriffsfläche, insbesondere wenn sie ohne klare Sicherheitsrichtlinien betrieben werden. Im Fall von OpenClaw wurde diese Entwicklung innerhalb weniger Wochen sichtbar. Nur drei Wochen nach dem starken Anstieg der Nutzung wurde eine umfassende Sicherheitskrise bekannt. Dazu gehörte eine kritische Remote Code Execution Schwachstelle mit der Kennung CVE 2026 25253, eine groß angelegte Kompromittierung der Erweiterungs Lieferkette sowie grundlegende architektonische Schwächen, die die Auswirkungen dieser Angriffe zusätzlich verstärkten.

Diese Ereignisse zeigen, dass autonome KI-Agenten neue Anforderungen an Sicherheitskonzepte und Governance stellen. Mit ihrer Fähigkeit, eigenständig auf Systeme zuzugreifen und Aktionen auszuführen, werden sie zu einem integralen Bestandteil der Infrastruktur. Damit rückt die kontrollierte Integration solcher Systeme zunehmend in den Mittelpunkt eines sicheren und stabilen Betriebs.

Zentrale Erkenntnisse im Überblick

  • CVE-2026-25253 (CVSS 8.8): Eine One Click Angriffskette ermöglichte Remote Code Execution selbst bei lokal gebundenen Instanzen. Die Schwachstelle wurde mit Version 2026.1.29 geschlossen.
  • ClawHavoc Kampagne: Insgesamt wurden 341 manipulierte Erweiterungen im ClawHub Marktplatz identifiziert, was etwa zwölf Prozent des Verzeichnisses entspricht. Aktualisierte Analysen zeigen inzwischen über 800 kompromittierte Erweiterungen, rund zwanzig Prozent des gesamten Ökosystems. Hauptziel war die Verbreitung des Atomic macOS Stealer.
  • 30,000+ öffentlich erreichbare OpenClaw Instanzen identifiziert
    Mehrere Sicherheitsteams fanden tausende Systeme, die direkt aus dem Internet erreichbar waren. Viele dieser Instanzen liefen ohne Authentifizierung und konnten unmittelbar angesprochen werden.
  • Nachgewiesene Nutzung in Unternehmensumgebungen: Telemetriedaten von Sicherheitslösungen zeigen OpenClaw Installationen auf Unternehmensgeräten mit erweiterten Systemrechten. Dadurch entsteht eine neue Form unkontrollierter KI Nutzung außerhalb etablierter Sicherheitsstrukturen.
  • Strukturelle architektonische Risiken im Framework Design: Zugangsdaten wurden in Klartext gespeichert, WebSocket Verbindungen wurden nicht ausreichend validiert und der offene Erweiterungs Marktplatz verfügte über begrenzte Prüfmechanismen. Dadurch entstand eine strukturelle Angriffsfläche.

Die vorliegenden Untersuchungsergebnisse ordnen die sicherheitstechnischen Auswirkungen von OpenClaw klar ein. Sie zeigen konkrete Angriffspfade und deren Bedeutung für Unternehmensumgebungen.

OpenClaw verstehen

Im Kern fungiert OpenClaw als agentische Schnittstellenschicht zwischen einem externen Sprachmodell und dem lokalen System. Dabei wird ein großes Sprachmodell wie Claude, GPT oder DeepSeek in eine persistente Ausführungsumgebung eingebettet, die direkten Zugriff auf Systemressourcen besitzt. Die Kommunikation erfolgt über vertraute Messaging Plattformen, während der Agent im Hintergrund eigenständig Aktionen ausführt. Dazu gehört das Ausführen von Shell Befehlen, das Lesen und Verändern von Dateien, das Versenden von E Mails, die Planung von Aufgaben, der Zugriff auf Webinhalte sowie die Steuerung verbundener Dienste. Gleichzeitig speichert der Agent Kontext und Informationen über längere Zeiträume hinweg, wodurch er sich kontinuierlich anpasst und weiterentwickelt.

Die zugrunde liegende Architektur folgt einem Gateway und Control UI Modell. Das Gateway übernimmt die Kommunikation mit dem Sprachmodell und führt die angeforderten Aktionen auf dem Host System aus. Parallel dazu stellt die Control UI eine browserbasierte Verwaltungsoberfläche bereit, die typischerweise über den TCP Port 18789 erreichbar ist. Die Funktionalität wird durch sogenannte Skills erweitert, also modulare Erweiterungen, die über den ClawHub Marktplatz bereitgestellt werden. Dieser Marktplatz folgt einem offenen Modell und ermöglicht es der Community, neue Funktionen bereitzustellen. Zum Zeitpunkt der ersten Sicherheitsanalysen waren dort etwa 2.857 Erweiterungen verfügbar. Inzwischen ist diese Zahl auf über 10.700 gestiegen.

Das Design des Frameworks legt den Schwerpunkt auf Funktionsfähigkeit und einfache Nutzung. Um die gewünschten Aufgaben ausführen zu können, erhält der Agent weitreichende Berechtigungen, darunter Zugriff auf das Dateisystem, Terminalrechte und Zugriff auf OAuth verbundene Dienste. Dadurch entsteht ein leistungsfähiges System, das jedoch ein hohes Maß an technischem Verständnis und sorgfältiger Absicherung erfordert. Diese Architektur verdeutlicht, dass die erweiterten Möglichkeiten des Agenten untrennbar mit einem erhöhten Sicherheitsbedarf verbunden sind.

Threat stream 1: CVE-2026-25253. One-click remote code execution

Die kritischste technische Schwachstelle in OpenClaw wurde mit CVE 2026 25253 identifiziert. Sie ist unter CWE 669 klassifiziert und mit einem CVSS Wert von 8,8 bewertet. Entdeckt wurde sie von Mav Levin aus dem depthfirst Forschungsteam und am 30. Januar 2026 mit der OpenClaw Version 2026.1.29 behoben. Am selben Tag veröffentlichte das Projekt drei sicherheitsrelevante Hinweise, darunter diese Remote Code Execution Schwachstelle sowie zwei weitere Command Injection Schwachstellen.

Die Angriffskette

Die Schwachstelle basiert auf einem Designfehler in der Verarbeitung des gatewayUrl Parameters innerhalb der Control UI.

Stage 1 – Token Exfiltration
Ein Nutzer klickt auf einen manipulierten Link oder besucht eine präparierte Webseite. Der Link enthält einen gatewayUrl Parameter, der auf eine vom Angreifer kontrollierte Infrastruktur verweist. Die Control UI baut automatisch eine WebSocket Verbindung auf und überträgt dabei den gespeicherten Authentifizierungstoken an den Angreifer.

Stage 2 – Cross Site WebSocket Hijacking
Da der OpenClaw WebSocket Server den Origin Header nicht validierte, konnte schädlicher JavaScript Code eine Verbindung zur lokalen Gateway Instanz herstellen, beispielsweise über ws://localhost:18789. Dadurch fungiert der Browser des Nutzers als Zugangspunkt zum lokalen System.

Stage 3 – Übernahme des Gateways und Codeausführung
Mit dem gestohlenen Token erhält der Angreifer Zugriff auf die Gateway API mit erweiterten Rechten. Dadurch können Konfigurationen verändert, Sicherheitsrichtlinien angepasst und beliebige Befehle auf dem Host System ausgeführt werden, abhängig von den Berechtigungen des Agenten.

Warum localhost keine ausreichende Schutzmaßnahme darstellt

Ein verbreiteter Irrtum besteht darin, dass eine Bindung an die lokale Schnittstelle ausreichend Schutz bietet. Diese Schwachstelle nutzt den Browser des Nutzers als Vermittler, wodurch keine direkte Internetverbindung zur Gateway Instanz erforderlich ist. Jeder Nutzer, der sich in der Control UI authentifiziert hat und anschließend eine manipulierte Seite besucht oder einen präparierten Link öffnet, kann betroffen sein.

Internetexposition verstärkt das Risiko zusätzlich

Auch wenn die Schwachstelle lokal ausgenutzt werden kann, erhöht die große Zahl öffentlich erreichbarer Instanzen die Angriffsfläche erheblich.

• Censys dokumentierte einen Anstieg von etwa 1.000 auf über 21.000 öffentlich erreichbare Instanzen zwischen dem 25. und 31. Januar 2026.
• Bitsight identifizierte über 30.000 Instanzen innerhalb eines erweiterten Analysezeitraums.
• Eine unabhängige Analyse von Maor Dayan identifizierte 42.665 erreichbare Instanzen, von denen 5.194 aktiv verwundbar waren. In 93,4 Prozent dieser Fälle konnten Authentifizierungsmechanismen umgangen werden.

Die Verteilung erstreckt sich über 52 Länder. Die größten Konzentrationen befinden sich in den Vereinigten Staaten und China, gefolgt von Singapur. Der überwiegende Teil der Installationen, insgesamt 98,6 Prozent, läuft auf Cloud und Hosting Infrastrukturen, insbesondere bei DigitalOcean, Alibaba Cloud und Tencent.

Viele Betreiber nutzen Reverse Proxies oder Tunnel Dienste, um Fernzugriff zu ermöglichen. Fehlkonfigurationen führen jedoch häufig dazu, dass Schutzmechanismen umgangen werden, da Verbindungen intern als lokale Zugriffe interpretiert werden.

Zusätzliche Honeypot Analysen von Terrace Networks zeigen, dass automatisierte Scans bereits wenige Stunden nach der ersten öffentlichen Bekanntmachung am 26. Januar 2026 einsetzten. Die kontinuierliche Zunahme der Scan Aktivitäten deutet auf breit angelegte automatisierte Angriffe hin.

Threat Stream 2: ClawHavoc. Supply Chain-Kompromittierung im großen Maßstab

Parallel zur Veröffentlichung der technischen Schwachstelle wurde ein umfangreicher Angriff auf die Erweiterungs Lieferkette von OpenClaw identifiziert. Der Koi Security Forscher Oren Yomtov analysierte gemeinsam mit einem speziell konfigurierten OpenClaw Analyseagenten alle 2.857 zum Untersuchungszeitpunkt verfügbaren Skills im ClawHub Marktplatz und identifizierte 341 manipulierte Einträge. Davon konnten 335 einer koordinierten Kampagne zugeordnet werden, die unter dem Namen ClawHavoc verfolgt wird. Beim aktuellsten Scan vom 16. Februar 2026 wurden bereits über 824 kompromittierte Skills innerhalb eines inzwischen auf mehr als 10.700 Erweiterungen gewachsenen Ökosystems identifiziert. Eine unabhängige Analyse von Bitdefender geht von etwa 900 manipulierten Paketen aus, was rund zwanzig Prozent des gesamten Marktplatzes entspricht.

Der Social Engineering Mechanismus

Die ClawHavoc Kampagne zeichnete sich weniger durch technische Komplexität als durch ihre systematische Vorgehensweise und gezielte Täuschung aus.

• Die manipulierten Skills wurden gezielt als gefragte Werkzeuge getarnt, darunter Kryptowährungs Wallets und Tracking Tools mit 111 Einträgen, YouTube Werkzeuge mit 57 Einträgen, Prediction Market Bots mit 34 Einträgen sowie Finanz und Social Media Tools mit 51 Einträgen. Zusätzlich wurden Auto Update Werkzeuge und Google Workspace Integrationen veröffentlicht.

• Es wurde gezielt Typosquatting eingesetzt, also leicht abgewandelte Namen legitimer Erweiterungen, beispielsweise clawhub, clawhub1 oder clawhubb, um Vertrauen zu erzeugen und Verwechslungen zu begünstigen.

• Jeder manipulierte Skill enthielt professionell wirkende Dokumentation mit Installationsanweisungen. Nutzer wurden aufgefordert, zusätzliche Komponenten zu installieren, meist durch das Ausführen eines Shell Befehls oder das Herunterladen passwortgeschützter Archive.

• Dieses Vorgehen entspricht dem sogenannten ClickFix Muster, bei dem Nutzer dazu gebracht werden, schädliche Befehle selbst auszuführen und damit Schadcode innerhalb einer vertrauenswürdigen Umgebung zu starten.

Analyse der Schadsoftware

Die eingesetzte Schadsoftware war abhängig vom Zielsystem und gezielt auf die jeweilige Umgebung abgestimmt.

• Für macOS Systeme wurde überwiegend der Atomic macOS Stealer eingesetzt, eine weit verbreitete Infostealer Schadsoftware, die als kommerzieller Dienst angeboten wird.

• Diese Variante nutzte fortgeschrittene Verschleierungstechniken, darunter verschlüsselte Payloads, täuschend echte Passwortabfragen sowie persistente Hintergrundprozesse.

• Die Schadsoftware konnte Zugangsdaten aus dem iCloud Schlüsselbund, Browser Sitzungen, Kryptowährungs Wallet Daten, SSH Schlüssel, Telegram Sitzungen sowie Dateien aus Benutzerverzeichnissen auslesen.

• Für Windows Systeme wurde eine alternative Infostealer Variante eingesetzt, die zusätzlich Keylogger Funktionen und Remote Zugriff ermöglichte.

Zentralisierte Infrastruktur der Kampagne

Die ClawHavoc Kampagne nutzte eine zentral gesteuerte Infrastruktur.

• Alle 335 Skills, die den Atomic macOS Stealer verteilten, waren mit derselben Command and Control Infrastruktur verbunden.

• Die Schadsoftware wurde zunächst über legitime Code Plattformen bereitgestellt, um Vertrauen zu erzeugen und Sicherheitsprüfungen zu umgehen.

• Einige zusätzliche Skills enthielten alternative Angriffstechniken, darunter Reverse Shell Hintertüren oder Mechanismen zum Auslesen von Zugangsdaten aus OpenClaw Konfigurationsdateien.

Manipulation persistenter Agent Speicher

Ein besonders kritischer Aspekt war der gezielte Angriff auf die persistenten Speicherdateien von OpenClaw, insbesondere SOUL.md und MEMORY.md.

• Diese Dateien enthalten Kontext und Verhaltensanweisungen, die das langfristige Verhalten des Agenten steuern.

• Durch Manipulation dieser Dateien kann das Verhalten des Agenten dauerhaft verändert werden.

• Dadurch entstehen verzögerte Angriffsszenarien, bei denen Schadfunktionen nicht unmittelbar ausgeführt werden, sondern erst zu einem späteren Zeitpunkt aktiv werden.

Strukturelle Schwächen im Marktplatzmodell

Die ClawHavoc Kampagne wurde durch geringe Sicherheitsanforderungen im Marktplatz begünstigt.

• Zum Zeitpunkt des Angriffs war lediglich ein GitHub Konto erforderlich, das mindestens eine Woche alt war, um neue Skills zu veröffentlichen.

• Es gab keine verpflichtende Codeprüfung, keine Signaturanforderungen und keine automatisierten Sicherheitsanalysen.

• Ein einzelner Account veröffentlichte 354 manipulierte Pakete innerhalb kurzer Zeit, vermutlich vollständig automatisiert.

• OpenClaw hat inzwischen begonnen, hochgeladene Skills automatisiert zu scannen, dennoch bleibt das grundlegende Vertrauensmodell des offenen Marktplatzes eine strukturelle Herausforderung.

Threat Stream 3: Architekturbedingte Sicherheitslasten

Über die konkrete Schwachstelle und die Supply Chain Kampagne hinaus zeigt OpenClaw systemische Designrisiken, wie sie bei agentischen KI Systemen typisch sind, aber selten in dieser Verbreitung auftreten. Der Sicherheitsforscher Simon Willison beschreibt die Kombination aus drei Eigenschaften als kritische Risikokonstellation für KI Agenten: Zugriff auf private Daten, Kontakt zu nicht vertrauenswürdigen Inhalten und die Fähigkeit zur externen Kommunikation. OpenClaw vereint diese drei Eigenschaften bewusst im Design. Palo Alto Networks ordnete OpenClaw zudem allen Kategorien der OWASP Top 10 für agentische Anwendungen zu.

Speicherung von Zugangsdaten

Mehrere Analysen zeigen, dass OpenClaw API Keys, OAuth Tokens und weitere sensible Informationen in Klartext speichert, unter anderem in Markdown und JSON Dateien in lokalen Verzeichnissen wie ~/.openclaw/ sowie in älteren Pfaden wie ~/.clawdbot/. Diese Dateien sind ein attraktives Ziel für verbreitete Infostealer und für Credential Harvesting nach einer Kompromittierung. Bei öffentlich erreichbaren Instanzen konnte der Forscher Jamieson O’Reilly von Dvuln unter anderem Anthropic API Keys, Telegram Bot Tokens, Slack Zugangsdaten und vollständige Chat Verläufe einsehen.

Prompt Injection

OpenClaw verarbeitet Inhalte aus Quellen, die grundsätzlich als nicht vertrauenswürdig gelten müssen, darunter eingehende E Mails, Webseiten, Dokumente und Nachrichten unbekannter Kontakte. Versteckte Anweisungen in solchen Inhalten können das Sprachmodell dazu bringen, unbeabsichtigte Aktionen auszuführen, etwa Daten abfließen zu lassen, Befehle auszuführen oder die Konfiguration des Agenten zu verändern. In einer Cisco Bewertung wurde ein bösartiger Skill dokumentiert, der unbemerkt Daten über eingebettete curl Aufrufe exfiltrierte, wobei der Agent Netzwerkzugriffe ohne ersichtliche Nutzerinteraktion ausführte. Eine Kaspersky Analyse nennt 512 Schwachstellen in einem Audit, davon acht als kritisch eingestuft.

Detection Evasion durch Funktionsprinzip

Agentenbasierte Aktivitäten sind mit klassischen Sicherheitswerkzeugen strukturell schwer zu erkennen.

• Ein Agent, der E Mails versendet, nutzt dieselben Endpunkte und Protokolle wie der legitime Nutzer
• EDR sieht normale Antworten und keinen auffälligen Prozesskontext
• Netzwerkmonitoring sieht Verkehr zu freigegebenen Services
• Die eigentliche Nutzlast ist natürliche Sprache und Handlungslogik, keine klar signierbare Malware

Dadurch entsteht eine Form der Umgehung auf Bedeutungsebene, bei der das schädliche Verhalten in Semantik und Kontext steckt, nicht in bekannten Binärmuster oder Signaturen.

Enterprise Impact: das Shadow Agent Problem

OpenClaw wird als persönliches Produktivitätswerkzeug positioniert. Die Trennung zwischen privat und geschäftlich endet jedoch in dem Moment, in dem Mitarbeitende den Agenten mit Slack, Firmenmail, Google Workspace oder anderen SaaS Diensten über Arbeitszugänge verbinden. Bitdefender GravityZone Telemetrie hat OpenClaw Installationen auf Unternehmensendgeräten dokumentiert. Das bestätigt, dass Mitarbeitende agentische Systeme mit breitem Systemzugriff auf verwalteten und BYOD Geräten einsetzen, ohne Wissen oder Freigabe der Security Teams.

Das Muster ähnelt klassischem Shadow IT, wird aber deutlich verstärkt.

• Ein kompromittierter Agent übernimmt die realen Rechte des Nutzers
• Er läuft dauerhaft und benötigt keine wiederholte Interaktion, um Zugriff zu behalten
• Er kann über normale Kanäle Slack, Cloud Dokumente und E Mail nutzen und Daten abfließen lassen, während das Verhalten wie legitime Nutzeraktivität wirkt

Der Wechsel von Steinberger zu OpenAI und die Überführung des Projekts in eine Stiftung kann die Exposition kurzfristig erhöhen. Die wahrgenommene Legitimität durch eine OpenAI Unterstützung kann Adoption beschleunigen, während die grundlegende Sicherheitsarchitektur zunächst unverändert bleibt. Ohne klare Richtlinien und Durchsetzung entsteht das Risiko einer wachsenden Zahl unverwalteter, hoch privilegierter KI Agenten innerhalb des eigenen Perimeters.

Zusätzlich kam es bei der Moltbook Plattform, einem sozialen Netzwerk für KI Agenten im Umfeld des OpenClaw Ökosystems, zu einem Datenexposure. Dabei wurden über das Supabase Backend etwa 35.000 E Mail Adressen und 1,5 Millionen Agent Tokens offengelegt. Wenn Nutzer Moltbook mit arbeitsbezogenen Zugangsdaten verbunden haben, vergrößert sich der potenzielle Wirkungsradius.

Empfehlungen zur Abwehr

Discovery und Inventory

Priorität hat Sichtbarkeit. Security Teams sollten davon ausgehen, dass OpenClaw Installationen bereits existieren, und aktiv danach suchen.

Host basierte Indikatoren
• Suche nach Verzeichnissen wie ~/.openclaw/ sowie Legacy Pfaden wie ~/.clawdbot/ und ~/.moltbot/
• Prüfung auf Prozesse oder Binaries mit openclaw, clawdbot oder moltbot in Prozesslisten
• Prüfung geplanter Tasks, Login Items und LaunchAgents
• Audit von Node.js Prozessen, die zum OpenClaw Runtime Kontext passen

Netzwerk basierte Indikatoren
• Scans interner und externer Bereiche auf TCP Port 18789 sowie auf 80 und 443 bei reverse proxied Deployments
• Prüfung von HTTP Responses auf typische Title Strings wie OpenClaw Control, Moltbot Control oder Clawdbot Control
• Monitoring auf unerwartete WebSocket Verbindungen aus Browser Prozessen zu nicht lokalen Zielen, insbesondere nach Klick Ereignissen

Containment und Hardening

Bei gefundenen Installationen sollte eine risikobasierte Priorisierung erfolgen. Instanzen mit Verbindung zu Corporate Services oder mit Credentials für Enterprise Systeme sind High Priority.

• Sofort patchen. Sicherstellen, dass Version 2026.1.29 oder neuer läuft. Ältere Versionen gelten als verwundbar für CVE 2026 25253
• Least Privilege erzwingen. Dateisystemzugriff begrenzen, breite Terminalrechte deaktivieren, unnötige OAuth Scopes entfernen
• Isoliert betreiben, wenn Nutzung freigegeben bleibt, etwa in dedizierten VMs, Containern oder separaten User Accounts mit begrenztem Zugriff

Audit der verbundenen Dienste

• OAuth Grants, API Keys und Tokenberechtigungen aller verbundenen Dienste prüfen
• Agenten als dauerhaft aktive Access Broker betrachten und Scopes konsequent minimieren

Monitoring und Detection

Statt Signaturen sollte verhaltensbasiert erkannt werden, da die Kommunikation oft über legitime Kanäle läuft.

Terminal Muster
• Alarm auf base64 decode und direkte Shell Ausführung
• Alarm auf curl pipe bash Muster
• Alarm auf xattr -c bei frisch geladenen Executables auf macOS

Netzwerk Indikatoren
• Monitoring auf Traffic zu bekannter ClawHavoc Infrastruktur, siehe Anhang
• Erkennung von DNS Lookups und HTTP Verbindungen zu Script Staging Quellen, gefolgt von Terminal Ausführung auf demselben Host

Identity und Access Telemetrie
• Auffällige Peaks bei OAuth Consent
• Ungewöhnliche Token Refresh Muster
• SaaS Zugriffe von nicht standardisierten Geräten oder Orten, die auf agentenvermittelten Zugriff hindeuten können

Policy: Governance für autonome Agenten etablieren

Die robusteste Verteidigung ist eine organisatorische Policy, die autonome KI Agenten als eigene Technologiekategorie behandelt.

• Keine autonomen Agenten auf Corporate Devices ohne Security Review, einschließlich BYOD, wenn Corporate Credentials erreichbar sind
• Freigegebene Agenten nur isoliert betreiben, in VM, Container oder dediziertem Host mit Segmentierung gegenüber Identity Providern und Datenspeichern
• Skills und Extensions als Third Party Code behandeln, inklusive Scanning und Review vor Installation
• Regelmäßige Credential Hygiene, inklusive Rotation und Review von Tokens, API Keys und OAuth Grants für alle Agent Tools

Incident Response: Vorgehen bei OpenClaw Installationen in der eigenen Umgebung

Sofortige Eindämmung

• Betroffenen Host sofort vom Netzwerk isolieren
• Alle OpenClaw Prozesse und Dienste stoppen
• Zugriff des Systems auf Identity Provider und zentrale SaaS Plattformen blockieren, bis die Analyse abgeschlossen ist
• Wenn die Instanz öffentlich erreichbar war, den Host grundsätzlich als potenziell kompromittiert behandeln, auch wenn keine direkten Angriffsindikatoren sichtbar sind

Forensische Analyse

• Verzeichnisse wie ~/.openclaw/ und Legacy Pfade wie ~/.clawdbot/ sichern und für weitere Analyse erhalten
• Installierte Skills und deren Installationsanweisungen prüfen und mit bekannten ClawHavoc Indikatoren vergleichen
• Dateien wie SOUL.md und MEMORY.md auf Manipulation oder unerwartete Anweisungen untersuchen
• Auf typische Infostealer Spuren achten, darunter Zugriffe auf Browserdaten, Keychain Zugriffe auf macOS, Wallet Dateien und Telegram Sitzungsdaten

Umgang mit Zugangsdaten

• Alle API Keys und Tokens, auf die der Agent Zugriff hatte, sofort rotieren
• Betroffene Nutzerzugänge zurücksetzen und aktive Sessions widerrufen
• Alle OAuth Berechtigungen im Zusammenhang mit dem Agenten als potenziell kompromittiert behandeln, bis sie geprüft wurden
• Bei bestätigter Infostealer Aktivität zusätzlich Browser gespeicherte Passwörter, SSH Schlüssel und Wallet Zugangsdaten rotieren

Grundsätzliche Einordnung: Agenten verändern das Sicherheitsmodell

OpenClaw ist kein isolierter Einzelfall, sondern ein frühes Beispiel für eine grundlegende Veränderung der Sicherheitsarchitektur moderner IT Umgebungen. Mehrere Muster, die hier sichtbar wurden, werden sich mit zunehmender Verbreitung autonomer Agenten weiter verstärken.

• Erweiterungs Marktplätze werden zu einer zentralen Angriffsfläche. Jede Plattform mit Erweiterungsfunktion übernimmt ein strukturelles Supply Chain Risiko, abhängig vom Vertrauen in Community bereitgestellten Code.

• Social Engineering verlagert sich in technische Arbeitsabläufe. Das ClickFix Muster nutzt das Vertrauen technisch versierter Nutzer in ihre Werkzeuge und umgeht klassische Awareness Maßnahmen.

• Klassische Sicherheitskontrollen stoßen an Grenzen, wenn schädliche Aktivitäten wie legitime Automatisierung aussehen. Endpoint Detection, Netzwerkmonitoring und Identity Systeme sind darauf ausgelegt, Abweichungen zu erkennen, nicht autorisierte Nutzung legitimer Zugriffe.

• Prompt Injection und weitreichende Berechtigungen sind strukturelle Herausforderungen. Systeme, die Inhalte aus nicht vertrauenswürdigen Quellen verarbeiten und gleichzeitig umfassende Zugriffsrechte besitzen, bringen inhärente Risiken mit sich, die nicht allein technisch beseitigt werden können.

Damit verschiebt sich die zentrale Sicherheitsfrage für Organisationen. Es geht nicht mehr nur darum, ob autonome Agenten eingesetzt werden, sondern wie ihre Nutzung kontrolliert, überwacht und in bestehende Sicherheitsstrukturen integriert wird.autonomous agents will appear in their environments. It is whether discovery and governance will outpace adversarial exploitation. OpenClaw has provided the first large-scale demonstration of what happens when it does not.

Cloud Cybersecurity Netzwerke WLAN

Whitepaper

SOC: Cyberabwehr im Fokus

Herkömmliche Technologien sind oft nicht in der Lage, ausgefeilte Cyberangriffe zu erkennen, was dazu führt, dass Sicherheitsverletzungen im Schnitt erst nach mehr als 200 Tagen entdeckt werden. Es is…

Jan Bervar

Group Security Architect

Weiterlesen

Recent Blog posts

Verwandt

Ressourcen

Video

18. Feb. 2026

Cisco Live 2026 Highlights
Cloud Collaboration Datacenter Netzwerke Unified Communications (UC) WLAN

Blog

16. Feb. 2026

Cisco Live EMEA 2026

Event

10. März 2026

Gerätezugang nur bei Compliance: Zero Trust mit Cisco Posture

Video

29. Jan. 2026

NIS-2 Compliance 2026: Was jetzt zu tun ist
Cloud Collaboration Datacenter Netzwerke Unified Communications (UC) WLAN

Blog

22. Jan. 2026

Vom Cisco Gold Partner zum Cisco Preferred Partner

Video

19. Jan. 2026

OT-Security praxisnah: Kontrolle und Compliance
Cybersecurity

Blog

9. Jan. 2026

Check-in, Klick, Kompromittierung

Digital Horizons – Der Conscia Podcast über Trends in der IT-Branche

Jetzt anhören