Sicherheitsforscher haben den ersten bestätigten Diebstahl von Konfigurationsdateien des KI-Agenten OpenClaw dokumentiert. Die erbeuteten Dateien enthalten API-Schlüssel, Authentifizierungs-Token und kryptografische Schlüssel – also genau jene Daten, die einem Angreifer tiefen Zugriff auf den persönlichen KI-Assistenten und damit auf die digitale Identität des Nutzers ermöglichen.
OpenClaw als neuer Hochwert-Zielpunkt für Infostealer
OpenClaw, früher unter den Namen ClawdBot und MoltBot bekannt, ist ein lokal installierbares Framework für KI-Agenten. Es speichert Konfigurationen und eine dauerhafte „Speicher“-Struktur direkt auf dem Endgerät, greift auf lokale Dateien zu und lässt sich mit E-Mail-Clients, Messengern und diversen Cloud-Diensten integrieren. Die Plattform hat nach Angaben der Entwickler mehr als 200.000 Sterne auf GitHub gesammelt, ihr Erfinder wurde von OpenAI angeworben – ein Hinweis auf die enorme Verbreitung und Bedeutung des Projekts.
Genau diese enge Verzahnung mit alltäglichen Arbeitsabläufen macht OpenClaw aus Sicht der Cybersicherheit zu einem Hochrisiko-Ziel. Branchenberichte – etwa von großen Sicherheitsanbietern und Organisationen wie ENISA oder im Verizon Data Breach Investigations Report – zeigen seit Jahren, dass sogenannte Infostealer zu den am weitesten verbreiteten Malware-Familien gehören. Sie sind darauf spezialisiert, Zugangsdaten, Browser-Cookies und sensible Dateien automatisiert abzugreifen.
Vidar-Infostealer: So wurden die OpenClaw-Konfigurationsdateien kompromittiert
Nach Analysen des Threat-Intelligence-Anbieters Hudson Rock wurde die OpenClaw-Konfiguration eines Anwenders am 13. Februar 2026 durch einen Infostealer der Familie Vidar entwendet. Vidar ist eine seit Jahren dokumentierte Malware, die für den Diebstahl von Zugangsdaten, Wallets und Konfigurationsdateien bekannt ist und meist im Rahmen massenhafter Kampagnen verteilt wird.
Bemerkenswert: Vidar enthielt in diesem Fall keinerlei speziellen Code für OpenClaw. Die Schadsoftware durchsuchte die Dateisysteme des infizierten Systems nach Dateien, in deren Namen oder Inhalt Begriffe wie „token“ oder „private key“ vorkamen. Das Verzeichnis .openclaw erfüllte diese Kriterien und wurde daher automatisch in das Paket der exfiltrierten Daten aufgenommen. Dieser Vorfall markiert einen Wendepunkt: Infostealer entwickeln sich von Werkzeugen zum Diebstahl einzelner Zugangsdaten hin zu Werkzeugen zur Kompromittierung kompletter digitaler Identitäten über KI-Agenten.
Welche OpenClaw-Dateien gestohlen wurden – und warum sie so kritisch sind
Openclaw.json: Authentifizierungs-Token und Basisidentität
Unter den entwendeten Dateien befindet sich Openclaw.json. Diese Konfigurationsdatei enthält eine verschleierte E-Mail-Adresse des Besitzers, den Pfad zum Arbeitsverzeichnis sowie ein hochentropisches Authentifizierungs-Token für den OpenClaw-Gateway. Mit einem solchen Token kann ein Angreifer sich potenziell gegenüber dem lokalen OpenClaw-Instanz als legitimer Client ausgeben und authentifizierte Anfragen stellen – ein direkter Weg zur Übernahme des Agenten.
Device.json: Kryptografische Schlüssel des Geräts
Noch kritischer ist die Datei Device.json mit den Feldern publicKeyPem und privateKeyPem. Diese Schlüssel werden zur Gerätebindung und zur Signatur von Nachrichten verwendet. Gerät der private Schlüssel in fremde Hände, kann ein Angreifer:
– Anfragen im Namen des kompromittierten Geräts signieren,
– Sicherheitsmechanismen ähnlich einem „Safe Device“-Check umgehen,
– auf verschlüsselte Protokolle, Logs oder Cloud-Dienste zugreifen, die an dieses Schlüsselpaar gebunden sind.
Soul.md, AGENTS.md, MEMORY.md: Verhalten, Kontext und persönliches Profil
Ebenfalls abgeflossen sind Soul.md, AGENTS.md und MEMORY.md. Diese Dateien beschreiben das Verhalten des KI-Agenten, enthalten Anweisungen, Rollenprofile und den langfristigen Kontext: Ausschnitte aus Unterhaltungen, Arbeitsnotizen, Kalenderereignisse und andere persönliche Inhalte. De facto bilden sie einen strukturierten psychologischen und beruflichen Profilabdruck der betroffenen Person.
In Kombination erlauben diese Informationen eine nahezu vollständige Kompromittierung der digitalen Identität: von glaubwürdigen Spear-Phishing-Kampagnen über Social Engineering (etwa im Namen des Opfers gegenüber Kollegen oder Dienstleistern) bis hin zu Identitätsmissbrauch in Online-Diensten.
Warum Angriffe auf KI-Agenten zunehmen werden
OpenClaw ist nur ein Beispiel für lokal ausgeführte KI-Frameworks, die zunehmend in Unternehmen und bei privaten Anwendern eingesetzt werden. KI-Agenten bündeln Zugriffe auf E-Mail, Cloud-Speicher, Projektmanagement-Tools und interne Plattformen. Für Cyberkriminelle werden sie damit zu einem Daten-Hub mit hoher „Rendite“: Ein kompromittierter Agent sieht oft mehr als ein einzelner Browser oder Messenger – und speichert diese Informationen in auswertbaren Dateien.
Es ist zu erwarten, dass Malware-Entwickler künftig spezialisierte Module und Signaturen für bekannte KI-Agenten in ihre Infostealer integrieren, gezielt nach Verzeichnissen wie .openclaw suchen und gestohlene Tokens und Schlüssel für langfristige, verdeckte Zugriffe (etwa Lateral Movement in Unternehmensnetzen) nutzen.
Best Practices zum Schutz von KI-Agenten und Konfigurationsdateien
Um das Risiko einer Kompromittierung von OpenClaw und vergleichbaren Lösungen zu reduzieren, sollten Organisationen und Privatanwender mehrere grundlegende Maßnahmen umsetzen:
1. Endpunktschutz stärken: Aktuelle Antivirenlösungen, EDR/XDR-Systeme, restriktive Ausführungsrichtlinien und konsequente Patch-Strategien bilden die wichtigste Verteidigungslinie gegen Infostealer wie Vidar.
2. Geheimnisse minimieren und segmentieren: Nur zwingend notwendige Tokens und Schlüssel speichern, berufliche und private Konfigurationen strikt trennen und KI-Agenten nach Möglichkeit in separaten Benutzerprofilen oder virtuellen Maschinen betreiben.
3. Konfigurationsdateien härten: Wo möglich, Konfigurationen in verschlüsselten Containern ablegen, Dateisystemrechte für Verzeichnisse wie .openclaw einschränken und Zugriffe überwachen.
4. Schlüssel und Tokens regelmäßig rotieren: Kurzlebige Tokens und regelmäßige Schlüsselerneuerungen verkleinern das Zeitfenster, in dem ein gestohlenes Geheimnis ausgenutzt werden kann.
5. Integrationen kritisch prüfen: KI-Agenten sollten nur die minimal erforderlichen Berechtigungen für E-Mail, Cloud-Storage und Kollaborationstools erhalten (Prinzip der geringsten Privilegien). Jede neue Integration ist als zusätzliche Angriffsfläche zu bewerten.
Der Diebstahl der OpenClaw-Konfiguration macht deutlich, dass KI-Agenten endgültig im Fadenkreuz professioneller Cyberkriminalität angekommen sind. Wer heute KI-gestützte Assistenten produktiv einsetzt, sollte ihre Sicherheitsarchitektur auf eine Stufe mit der Absicherung von E-Mail, Browsern und mobilen Endgeräten stellen. Es ist ratsam, bestehende Prozesse und Richtlinien zu überprüfen, Speicherorte und Berechtigungen von KI-Konfigurationsdateien zu inventarisieren und frühzeitig technische wie organisatorische Schutzmaßnahmen zu etablieren – bevor KI-Agenten zur Standardangriffsfläche in jeder Infostealer-Kampagne werden.
