Der chinesische Nationale Notfallreaktionsverbund für Computer-Sicherheitsvorfälle (CNCERT/CC) hat eine offizielle Warnung zu erheblichen Sicherheitsrisiken bei der Nutzung der Agenten-KI OpenClaw veröffentlicht. Nach Einschätzung der Behörde können bereits die Standardeinstellungen der Plattform zu gravierenden Vorfällen führen – von der Kompromittierung von Zugangsdaten bis hin zum unautorisierten Zugriff auf sensible Unternehmenssysteme.
Agenten-KI als neues Angriffsziel: Warum OpenClaw besonders kritisch ist
Agentenbasierte KI-Lösungen wie OpenClaw sind darauf ausgelegt, eigenständig Aktionen in IT-Umgebungen auszuführen – etwa Dateien zu verändern, Skripte zu starten oder sich mit Cloud-Diensten zu verbinden. CNCERT weist darauf hin, dass die Default-Konfiguration von OpenClaw sicherheitstechnisch als „sehr schwach“ einzustufen ist und ohne zusätzliche Schutzmaßnahmen ein erhebliches Angriffsfenster öffnet.
Ein zentrales Risiko ist die sogenannte Prompt-Injection. Dabei platzieren Angreifer versteckte Anweisungen in Webseiten, Dokumenten oder anderen Datenquellen, die der KI-Agent automatisch verarbeitet. Der Agent interpretiert diese Inhalte als legitime Befehle und kann dadurch etwa vertrauliche Informationen exfiltrieren, Konfigurationen verändern oder Kommandos in der Infrastruktur ausführen – selbst dann, wenn der eigentliche Nutzer dies nicht beabsichtigt.
Hinzu kommt die Gefahr manipulierten Funktionsumfangs durch „vergiftete“ Skills und Plugins. Erweiterungsmodule, die von Dritten entwickelt oder unzureichend geprüft wurden, können verdeckte Funktionen enthalten: vom heimlichen Mitschneiden von Datenströmen über das Speichern von Tokens bis hin zum Einbau persistenter Hintertüren. CNCERT bewertet dies ausdrücklich als Supply-Chain-Risiko innerhalb der KI-Ökosysteme, ähnlich wie bei kompromittierten Software-Bibliotheken.
Bekannte Schwachstellen, Privilegienmissbrauch und der Faktor Mensch
CNCERT erinnert daran, dass in OpenClaw bereits mehrere schwerwiegende Sicherheitslücken entdeckt wurden, die es Angreifern ermöglichten, Zugangsdaten abzugreifen oder ihre Rechte im System auszuweiten. Besonders kritisch ist dies, wenn der Agent mit hochprivilegierten Unternehmens-Accounts in Cloud-Plattformen, DevOps-Toolchains oder Administrationssystemen verknüpft ist. Studien wie der „IBM Cost of a Data Breach Report 2023“ zeigen, dass kompromittierte Credentials weltweit zu den häufigsten Ursachen schwerer Sicherheitsvorfälle zählen.
Ein weiterer Schwerpunkt der Warnung ist der menschliche Faktor. Da OpenClaw im Namen des Nutzers handelt, können fehlerhafte oder unklare Anweisungen dazu führen, dass produktive Daten gelöscht, Berechtigungen falsch gesetzt oder kritische Services unbeabsichtigt gestoppt werden. In Umgebungen ohne belastbares Backup- und Recovery-Konzept können die Auswirkungen denen eines gezielten Angriffs gleichen – inklusive längerer Ausfallzeiten und Compliance-Verstößen.
Empfehlungen von CNCERT: Sicherer Betrieb von OpenClaw in Unternehmensnetzen
1. Strikte Isolation und Härtung der Ausführungsumgebung
CNCERT empfiehlt, OpenClaw konsequent in Container- oder Sandbox-Umgebungen (etwa mit Docker oder Podman) zu betreiben, versehen mit minimalen Rechten und restriktiven Sicherheitsprofilen (z.B. seccomp, AppArmor). So wird verhindert, dass ein kompromittierter Agent direkten Zugriff auf Host-Systeme oder andere kritische Dienste erhält.
2. Management-Schnittstellen vom Internet abkoppeln
Die Administrationsoberfläche von OpenClaw darf nicht frei aus dem Internet erreichbar sein. Zugang sollte ausschließlich über VPN, IP-Whitelisting und zusätzliche Authentifizierungsmechanismen erfolgen. Offene Management-Ports gelten seit Jahren als eine der häufigsten Einfalltüren für Angreifer, wie zahlreiche Incident-Reports internationaler CERTs zeigen.
3. Starke Authentifizierung und Least-Privilege-Prinzip
Für sämtliche Konten, mit denen OpenClaw arbeitet, fordert CNCERT Mehr-Faktor-Authentifizierung, rollenbasierte Zugriffskontrolle (RBAC) und strikt begrenzte Berechtigungen. Der Agent sollte nur auf diejenigen Ressourcen zugreifen dürfen, die für die jeweilige Aufgabe zwingend notwendig sind. Geheimnisse wie API-Keys oder Tokens sollten in dedizierten Secret-Management-Lösungen gespeichert und regelmäßig rotiert werden.
4. Deaktivierung von Auto-Updates und kontrollierte Plugin-Nutzung
Automatische Updates und die unkontrollierte Installation von Plugins stellen nach Einschätzung von CNCERT einen potenziellen Kanal für Schadcode dar. Stattdessen wird empfohlen, Aktualisierungen und Erweiterungen manuell zu prüfen, zu testen und nur aus vertrauenswürdigen Quellen zuzulassen. Unternehmen sollten dafür interne Freigabeprozesse und eine technische Prüfung (Code-Review, Signatur-Checks) etablieren.
Gartner-Bewertung und Reaktion von Wirtschaft und Behörden
Die Einschätzung von CNCERT deckt sich mit früheren Warnhinweisen der Analystenfirma Gartner. Diese stufte OpenClaw bereits zu Jahresbeginn als „inakzeptables Cyberrisiko“ für Enterprise-Umgebungen ein und empfahl, die Lösung ausschließlich in strikt isolierten Setups zu betreiben – idealerweise mit Einmal-Zugangsdaten und ohne direkte Anbindung an produktive Kernsysteme.
Trotz dieser Warnungen verzeichnete OpenClaw in China eine rasche Verbreitung. Große Cloud-Anbieter bewarben „One-Click“-Deployments, und Medien berichteten von Aktionen, bei denen beispielsweise vor der Tencent-Zentrale in Shenzhen hunderte bis tausende Interessenten anstanden, um sich OpenClaw von Ingenieuren direkt installieren zu lassen. Dies verdeutlicht, wie schnell innovative KI-Werkzeuge den Weg in Unternehmensnetze finden, häufig vor klaren Sicherheitsrichtlinien.
Nach der CNCERT-Veröffentlichung wurden erste konkrete Maßnahmen bekannt: In verschiedenen Regierungsbehörden und staatlichen Banken ist die Installation von OpenClaw auf Dienstrechnern untersagt. Mitarbeitende müssen bestehende Installationen melden, damit Sicherheitsprüfungen und gegebenenfalls Deinstallationen erfolgen können. Medienberichten zufolge erstrecken sich einige Vorgaben sogar auf private Endgeräte, sofern diese mit dem Unternehmensnetz verbunden sind – ein Ansatz, der vor allem in hochregulierten Branchen zunehmend anzutreffen ist.
Die aktuelle Entwicklung macht deutlich, dass Agenten-KI-Systeme als neue Klasse besonders schützenswerter und zugleich hochriskanter Assets betrachtet werden müssen. Unternehmen, die OpenClaw oder ähnliche Lösungen bereits einsetzen, sollten umgehend eine Inventur durchführen, Privilegien reduzieren, Containerisierung und Netzsegmentierung umsetzen sowie verbindliche Nutzungsrichtlinien und Monitoring-Prozesse etablieren. Organisationen, die den Einsatz solcher Agenten-KI erst planen, sollten Cyberrisiko-Bewertungen, Sicherheitsarchitektur und Governance-Vorgaben von Beginn an in ihre Projekte integrieren, um die Vorteile der Automatisierung zu nutzen, ohne ihre Infrastruktur unnötig zu gefährden.
