Die offene KI-Agentenplattform OpenClaw (frueher Moltbot und ClawdBot) hat sich in wenigen Monaten von einem Nischenprojekt zu einem stark genutzten Oekosystem entwickelt – und gleichzeitig zu einem attraktiven Ziel fuer Cyberkriminelle. Aktuelle Untersuchungen unabhängiger Sicherheitsforscher zeigen hunderte malizioese Skills sowie erste Hinweise auf sich selbst verbreitende Prompt-Wuermer, die OpenClaw zu einem Lehrbeispiel fuer die neuen Angriffsvektoren in KI-Agenten machen.
OpenClaw: rasantes Wachstum und ein offenes Plugin-Oekosystem als Einfallstor
OpenClaw ist ein lokaler KI-Assistent, der sich in Messenger wie WhatsApp, Telegram, Slack oder Discord integriert und Aufgaben autonom, zeitgesteuert und im Verbund mit anderen Agenten ausfuehren kann. Seit dem Start im November 2025 verzeichnet das Projekt ueber 150.000 GitHub-Sterne, rund 770.000 registrierte Agenten und etwa 17.000 aktive Nutzer – ein Wachstum, das viele etablierte Open-Source-Projekte deutlich uebertrifft.
Funktional wird OpenClaw ueber sogenannte Skills erweitert, also Plugins aus dem offiziellen Katalog ClawHub. Entscheidend fuer das Risiko: Das Repository ist standardmaessig offen. Jeder GitHub-Account, der aelter als eine Woche ist, kann Skills ohne vorherige Sicherheitspruefung oder Moderation einstellen. Damit entsteht eine Situation, die in der klassischen Softwarewelt einem grossen, kaum kuratierten App-Store gleicht – ein bekanntes Risiko aus Supply-Chain-Angriffen, wie sie auch von OWASP und ENISA seit Jahren beschrieben werden.
Kampagne ClawHavoc: Malware-Skills, Infostealer und Remote-Shells
AuthTool als Trojanisches Pferd im Skill-Oekosystem
Forscher von Koi Security registrierten allein zwischen 27. Januar und 1. Februar ueber 230 neu hochgeladene, schaedliche Skills in ClawHub und auf GitHub. In einer spaeteren Analyse von 2.857 verfügbaren Skills identifizierten sie 341 malizioese Plugins, die einer koordinierten Kampagne mit dem Namen ClawHavoc zugeordnet wurden. Einige dieser Skills wurden tausendfach heruntergeladen; der Skill What Would Elon Do wurde zudem per Manipulation nach oben in den Rankings gedrueckt.
Gemeinsames Muster der Kampagne ist ein angeblich notwendiges Zusatztool namens AuthTool, das in der Dokumentation der betroffenen Skills aggressiv beworben wird. In Wirklichkeit fungiert AuthTool als Malware-Loader. Unter macOS verstecken sich in den Skills base64-kodierte Shell-Befehle, die eine Nutzlast von einem externen Server nachladen. Fuer Windows werden passwortgeschuetzte Archive ausgeliefert. Saemtliche beobachteten Varianten stehen mit einer zentralen Command-&-Control-Infrastruktur im Zusammenhang, die unter anderem auf die IP-Adresse 91.92.242[.]30 aufloest.
Ziele der Angriffe: Krypto-Werte, Entwicklerumgebungen und Bot-Zugänge
Die unter macOS nachgeladene Malware entpuppte sich als Variante des bekannten Infostealers Atomic Stealer (AMOS). Dieser umgeht Apples Gatekeeper-Schutz mithilfe des Befehls xattr -c, fordert erweiterten Zugriff auf das Dateisystem an und zielt auf besonders sensible Daten. Im Fokus stehen API-Schluessel von Kryptobörsen und Wallets, Seed-Phrasen, Keychain-Daten, Browser-Passwoerter, SSH-Schluessel, Cloud-Konten, Git-Accounts sowie Konfigurationsdateien wie .env.
Neben klassischen Infostealern fanden die Forscher Skills mit Reverse-Shells (etwa better-polymarket, polymarket-all-in-one), die Angreifern direkten Remote-Zugriff auf betroffene Systeme ermoeglichen. Andere Plugins, wie der Skill rankaj, exfiltrierten Zugangsdaten aus ~/.clawdbot/.env an externe Dienste wie webhook[.]site. Damit koennen kompromittierte Bot-Tokens und API-Schluessel fuer weitergehende Angriffe missbraucht werden – ein Szenario, das auch von Incident-Response-Teams grosser Cloud-Anbieter immer haeufiger beobachtet wird.
Moltbook und die ersten Prompt-Wuermer in einer KI-Social-Plattform
Von Prompt-Injection zu selbstreplizierenden Angriffen
Parallel zu OpenClaw entstand mit Moltbook eine Art Social Network fuer KI-Agenten: Bots posten autonom Inhalte, kommentieren und interagieren miteinander. Eine Studie des Simula Research Laboratory analysierte Moltbook-Beitraege und identifizierte 506 Posts – rund 2,6 Prozent der Stichprobe – mit versteckten Prompt-Injections. Diese Anweisungen sind so gestaltet, dass andere Agenten beim Lesen ungewollte Aktionen ausfuehren.
Die Forscher werten diese Konstrukte als fruehe Beispiele sogenannter Prompt-Wuermer: selbstreplizierende Textbefehle, die von Agent zu Agent wandern. Ein typisches Szenario: Ein mit einem schaedlichen Skill ausgestatteter Agent veroeffentlicht einen Moltbook-Post, der eingebettete Instruktionen fuer andere Bots enthaelt. Lesen diese den Beitrag, fuehren sie die Anweisungen aus, posten aehnliche Inhalte weiter oder installieren weitere Skills – ein Kreislauf, der an den 2024 beschriebenen Morris-II-Angriff erinnert und zeigt, dass theoretische Bedrohungsmodelle nun praktisch umgesetzt werden.
Strukturelle Risiken autonomer KI-Agenten-Oekosysteme
Derzeit nutzen viele OpenClaw-Installationen die APIs grosser Anbieter wie OpenAI oder Anthropic. Diese Provider koennen auffaellige Nutzungsmuster erkennen und Accounts sperren – eine Art externer Not-Aus-Schalter. Mit der zunehmenden Verbreitung leistungsfaehiger lokaler LLMs wie Mistral, DeepSeek oder Qwen verschiebt sich die Ausfuehrung jedoch auf Endgeraete, auf denen ein solcher Kontrollmechanismus fehlt. Damit naehert sich das Risiko dem klassischer Malware an, nur mit deutlich groesserem Handlungsspielraum der Agenten.
Experten von Palo Alto Networks beschreiben OpenClaw als besonders kritisch, weil drei Faktoren zusammentreffen: Zugriff auf vertrauliche Daten, Zugriff auf unzuverlaessige Inhalte und Moeglichkeit externer Kommunikation. Diese Kombination findet sich in vielen modernen KI-Agentenplattformen wieder und entspricht weitgehend den Bedrohungsmodellen, die unter anderem NIST und andere Standardisierungsgremien fuer KI-Systeme skizzieren.
Konkrete Schutzmassnahmen fuer Nutzer von OpenClaw und KI-Agenten
Der OpenClaw-Entwickler raeumt ein, dass eine vollstaendige manuelle Moderation der wachsenden Zahl an Skills derzeit nicht realistisch ist. Als Zwischenloesung existiert ein Community-basierter Meldemechanismus: Verifizierte Nutzer koennen Plugins als verdächtig markieren (bis zu 20 aktive Meldungen pro Account); Skills mit mehr als drei eindeutigen Reports werden standardmaessig ausgeblendet. Zusaetzlich stellen unabhaengige Forscher einen kostenlosen Online-Scanner bereit, der Skills anhand ihrer URL auf offensichtliche Auffaelligkeiten prueft.
Fuer Anwender von OpenClaw und aehnlichen KI-Agentenplattformen ergeben sich daraus klare Handlungsempfehlungen: Nur bekannte und vertrauenswuerdige Skills installieren, Dokumentation und Shell-Befehle kritisch pruefen, Agenten in isolierten Umgebungen (separate Benutzerkonten, Sandboxen, minimal noetige Dateirechte) betreiben, die Zahl hinterlegter Secrets (API-Schluessel, Tokens, Seed-Phrasen) strikt begrenzen und Berechtigungen sowie Schluessel regelmaessig rotieren. Organisationen sollten KI-Agenten zudem in ihre etablierten Security-Prozesse (Threat Modeling, Code-Reviews, EDR, Netzwerksegmentierung) integrieren, statt sie als reines Experimentierfeld zu betrachten.
Die Entwicklung von Malware-Skills und Prompt-Würmern in OpenClaw und Moltbook zeigt, dass KI-Oekosysteme die Reifephase klassischer IT-Sicherheitsbedrohungen erreichen. Wer fruehzeitig in robuste Sicherheitsarchitekturen, automatisierte Analyse von Skills und klare Policies fuer den Umgang mit autonomen Agenten investiert, reduziert das Risiko erheblich – und vermeidet, erst im Zuge der naechsten grossangelegten Kampagne zum Handeln gezwungen zu werden.
