Die junge KI-Agentenplattform OpenClaw (frueher ClawdBot/Moltbot) sowie das dazugehoerige soziale Netzwerk Moltbook stehen nach der Offenlegung mehrerer gravierender Schwachstellen im Fokus der IT-Sicherheits-Community. Innerhalb kurzer Zeit wurden eine Remote-Code-Execution-Luecke (RCE) per Ein-Klick-Exploit in OpenClaw sowie eine offen erreichbare Datenbank mit geleakten API-Schluesseln in Moltbook bekannt. Beide Incidents verdeutlichen, wie verwundbar moderne KI-Oekosysteme sind, wenn grundlegende Sicherheitsprinzipien missachtet werden.
Remote Code Execution in OpenClaw: RCE ueber WebSocket in Millisekunden
Der Sicherheitsforscher Mav Levin (DepthFirst, ehemals Anthropic) dokumentierte eine Exploit-Kette gegen OpenClaw, die zu Remote Code Execution auf dem Endgeraet des Nutzers nach einem einzigen Klick fuehrt. Ausreichend war der Aufruf einer praepareierten Webseite im Browser, waehrend ein verwundbarer OpenClaw-Client lief. Die eigentliche Kompromittierung geschah innerhalb von Millisekunden und praktisch ohne weiteres Zutun der betroffenen Person.
Technischer Kern der Schwachstelle war das Fehlen einer serverseitigen Pruefung des WebSocket-Headers Origin. Der OpenClaw-Server akzeptierte WebSocket-Verbindungen von beliebigen Quellen. Das ermoeglichte eine sogenannte cross-site WebSocket hijacking-Attacke: Ein boesartiges Script im Browser der Zielperson baute ein WebSocket zu OpenClaw auf, nutzte vorhandene Authentifizierungsdaten und agierte somit als scheinbar legitimer Client.
Von WebSocket-Hijacking zur Codeausfuehrung: Angriffskette im Detail
Nach erfolgreicher Uebernahme der WebSocket-Sitzung konnte der Angreifer mit dem OpenClaw-Backend vollwertig interagieren. Laut Levin deaktivierte der Exploit zunaechst Sicherheitsmechanismen wie Sandbox-Restriktionen und zusaetzliche Bestaetigungsabfragen fuer gefaehrliche Befehle. Anschliessend wurde ein node.invoke-Aufruf abgesetzt, der die Ausfuehrung beliebigen Codes auf dem lokalen System ausloeste – ein typisches Merkmal fuer RCE-Schwachstellen hoechster Kritikalitaet.
Eine derartige Ein-Klick-RCE ist aus Sicht der Informationssicherheit besonders kritisch, weil sie klassische Schutzmassnahmen wie Schulungen zur Erkennung von Phishing-E-Mails oder die Sensibilisierung fuer Dateianhaenge teilweise umgeht. Der Angriff erfolgt ausschliesslich ueber Browser-Interaktion und missbraucht legitime Funktionen der KI-Plattform.
Das OpenClaw-Entwicklungsteam reagierte nach der Meldung durch Levin mit einem oeffentlichen Security Advisory und einem Patch, der die Origin-Pruefung nachruestet und die beschriebene Angriffskette unterbindet. Der Sicherheitsforscher Jamieson O’Reilly, der zuvor weitere Probleme gemeldet hatte und inzwischen am Projekt mitwirkt, rief erneut zu verantwortungsvoller Offenlegung (Responsible Disclosure) und strukturierten Sicherheitsreviews auf.
Moltbook: Offene Datenbank, API-Schluessel-Leak und Identitaetsmissbrauch von KI-Agenten
Parallel zu den RCE-Funden in OpenClaw meldete Jamieson O’Reilly eine weitere schwerwiegende Schwachstelle in Moltbook, einer mit OpenClaw verknuepften Plattform, die als eine Art Reddit fuer KI-Agenten konzipiert ist. Nutzer koennen dort ihre Agenten – etwa E-Mail-Assistenten – anbinden und deren Interaktionen in einem oeffentlichen Stream verfolgen.
Aus sicherheitstechnischer Sicht war jedoch nicht der teils skurrile Inhalt relevant, sondern die Tatsache, dass die zugrunde liegende Moltbook-Datenbank aus dem Internet frei erreichbar war. Laut O’Reilly ermöglichte eine Fehlkonfiguration nicht nur den Zugriff auf gespeicherte Daten, sondern fuehrte auch zur Exposition geheimer API-Schluessel. Aehnliche Konfigurationsfehler gehoeren laut diversen Branchenberichten zu den haeufigsten Ursachen fuer Datenpannen in Cloud-Umgebungen.
Missbrauchsszenarien: Von Phishing bis Desinformation durch kompromittierte Agenten
Mit einem offenen Datenbankzugang haette ein Angreifer im Namen beliebiger KI-Agenten Inhalte publizieren koennen – einschliesslich solcher, die mit bekannten Persoenlichkeiten der KI-Branche verknuepft sind. Als Beispiel wird der Agent von Andrej Karpathy (Eureka Labs, frueher Tesla und Mitgruender von OpenAI) genannt, dessen persoenlicher Agent in Moltbook eingebunden war.
Die Kompromittierung solcher Agenten bietet ein erhebliches Missbrauchspotenzial: zielgerichtete Phishing-Kampagnen, manipulierte Aussagen zu KI-Sicherheit, Kryptobetrug oder politisch motivierte Desinformationskampagnen koennten durch scheinbar vertrauenswuerdige KI-Identitaeten verbreitet werden. In einer Umgebung, in der Menschen zunehmend automatisierten Empfehlungen und Agenten vertrauen, wuerde dies die Wirkung klassischer Social-Engineering-Angriffe deutlich verstaerken.
Nach Angaben von O’Reilly lag dem Vorfall eine fehlerhafte Konfiguration einer Open-Source-Datenbank zugrunde. Die Luecke wurde nach seiner Meldung geschlossen; eine detaillierte oeffentliche Stellungnahme des Entwicklers von Moltbook steht jedoch aus.
Lehren fuer die Sicherheit von KI-Agentenplattformen
Die Incidents bei OpenClaw und Moltbook verdeutlichen ein strukturelles Problem vieler schnell wachsender KI-Dienste: Funktionalitaet skaliert schneller als Sicherheitsprozesse. Elementare Best Practices wie strikte Origin-Pruefung fuer WebSockets, ein „default-deny“-Ansatz bei Datenbankkonfigurationen und das sichere Management von API-Schluesseln duerfen in keinem produktiven KI-System fehlen.
Fuer Betreiber von KI-Plattformen und Agenten-Oekosystemen lassen sich mehrere konkrete Massnahmen ableiten: WebSocket-Endpunkte sollten nur explizit autorisierte Origins akzeptieren; Rechte fuer Dienste und Agenten sind nach dem Least-Privilege-Prinzip zu vergeben, um Schadensausmass bei Kompromittierung zu begrenzen. Geheimnisse wie API-Schluessel gehoeren in dedizierte Secret-Management-Loesungen und nicht in Konfigurationsdateien oder Datenbanken mit Netzwerkzugang.
Darueber hinaus sollten regelmaessige Security Audits, Penetrationstests und Bug-Bounty-Programme fester Bestandteil eines Secure Software Development Life Cycle (Secure SDLC) sein. DevSecOps-Pipelines koennen helfen, Fehlkonfigurationen und verwundbare Abhaengigkeiten fruehzeitig automatisiert zu erkennen – bevor sie in produktiven KI-Workflows landen.
Die aktuellen Vorfaelle fuehren vor Augen, wie schnell das Vertrauen in KI-Agenten erodieren kann, wenn grundlegende Sicherheitsprinzipien vernachlaessigt werden. Plattformbetreiber sollten jetzt in strukturierte Sicherheitsprozesse investieren, Patches zeitnah einspielen und transparente Security-Kommunikation pflegen. Anwender wiederum sind gut beraten, Berechtigungen ihrer Agenten kritisch zu pruefen, Updates konsequent einzuspielen und Hinweise der IT-Sicherheitsforschung aufmerksam zu verfolgen, um nicht zur naechsten Zielscheibe aus dem wachsenden KI-Angriffsvektor zu werden.
