Ökosysteme für Erweiterungen von KI-Assistenten entwickeln sich rasant zur neuen Angriffsfläche für Cyberkriminelle. Beim Open-Source-KI-Agenten OpenClaw (vormals Moltbot und ClawdBot) wurden innerhalb weniger Tage hunderte bösartige Erweiterungen entdeckt. Als Reaktion integriert das Projekt nun VirusTotal und prüft alle Skills im offiziellen Repository ClawHub automatisch.
Welle bösartiger OpenClaw-Skills: Ausmass und Ziele der Angriffe
Nach Angaben von Koi Security tauchten zwischen dem 27. Januar und 1. Februar über 230 bösartige Skills für OpenClaw in ClawHub und auf GitHub auf. Die Erweiterungen gaben sich als nützliche Tools aus, zielten jedoch primär auf die Abzweigung von Kryptowährungen und anderen Finanzwerten der Nutzer.
Die unabhängige Gruppe OpenSourceMalware analysierte die Kampagne technisch und beschreibt, wie Angreifer das Vertrauen in den KI-Agenten und dessen Zugriff auf Systemwerkzeuge ausnutzen. Über manipulierte Skills liessen sich unautorisierte Aktionen ausführen und sensible Informationen aus Wallets, Browsern oder lokalen Dateien ausleiten.
Eine Untersuchung von Bitdefender Labs ergab, dass etwa 17 % aller im Februar 2026 beobachteten OpenClaw-Skills bösartig waren. Dieser Anteil ist für eine Erweiterungsplattform aussergewöhnlich hoch und vergleichbar mit dem Risiko nicht geprüfter Browser-Plugins oder piratisierter Software – also Bereichen, die in professionellen Umgebungen längst strengen Kontrollen unterliegen.
VirusTotal in OpenClaw: Technische Funktionsweise der neuen Schutzschicht
Automatisches Scannen von KI-Skills mit VirusTotal Code Insight
Da OpenClaw-Skills Zugriff auf Smart-Home-Steuerung, Finanz-APIs, Messenger und weitere kritische Dienste erhalten, führt das Projekt nun eine Pflichtprüfung über VirusTotal ein. Dabei kommt auch der Analysebaustein Code Insight zum Einsatz, der den Programmcode tiefergehend bewertet.
Der Prozess ist dreistufig aufgebaut:
1. Für jeden hochgeladenen Skill wird ein SHA‑256-Hash gebildet und mit der VirusTotal-Datenbank abgeglichen. Ist der Hash als Malware bekannt, wird der Skill sofort blockiert.
2. Findet sich kein Treffer, wird das Paket an Code Insight übergeben. Dieser Dienst untersucht Logik und Verhalten des Codes, um Backdoors, versteckte Kommunikationskanäle und verdächtige Ressourcenaufrufe zu erkennen – auch dann, wenn noch kein klassisches Signaturmuster existiert.
3. Skills mit dem Urteil „benign“ werden automatisch für ClawHub freigeschaltet. Bei verdächtigen Erweiterungen erscheint ein Warnhinweis, die Installation bleibt aber dem Nutzer überlassen. Skills, die als bösartig eingestuft werden, werden nicht im Katalog veröffentlicht.
Zusätzlich sollen bereits aktive Skills im ClawHub täglich neu gescannt werden. Damit reagiert die Plattform auf das Risiko nachträglicher Codeänderungen und zeitverzögert aktivierter Schadfunktionen, wie sie in modernen Malware-Kampagnen häufig beobachtet werden.
Community-basierte Moderation: Beschwerdesystem gegen verdächtige Erweiterungen
Bereits vor der vollständigen VirusTotal-Integration hatte OpenClaw ein Nutzer-Report-System eingeführt. Angemeldete Anwender können Skills als verdächtig melden; pro Konto sind bis zu 20 aktive Meldungen zulässig, um Missbrauch zu begrenzen.
Erhält ein Skill mehr als drei einzigartige Beschwerden, wird er im Katalog standardmässig ausgeblendet. Er bleibt auffindbar, wird aber nicht mehr prominent empfohlen. Die Kombination aus automatisiertem Scannen und Crowdsourcing-Moderation entspricht Best Practices aus anderen Open-Source-Ökosystemen und hilft, schnell auf neue Bedrohungen zu reagieren.
Verbleibende Risiken: Prompt-Injektionen und KI-getriebene Supply-Chain-Angriffe
Die OpenClaw-Entwickler betonen, dass die VirusTotal-Anbindung ein zentraler Fortschritt ist, aber keine vollständige Lösung darstellt. Ein Teil der Angriffe basiert auf Prompt-Injektionen und anderen logischen Manipulationen des Modells. Dabei wird die KI durch speziell gestaltete Eingaben dazu gebracht, Sicherheitsvorgaben zu umgehen oder vertrauliche Informationen preiszugeben – selbst wenn der zugrunde liegende Code formal sauber wirkt.
Besonders kritisch ist der Einsatz von OpenClaw auf Unternehmensarbeitsplätzen ohne Wissen der IT- oder Security-Teams (Shadow IT). In diesem Szenario erhält der KI-Assistent Zugriff auf interne Systeme, Dokumente und Geschäftsdaten. Jeder nachgeladene Skill wird damit zu einem potenziellen Supply-Chain-Einfallstor, ähnlich wie kompromittierte Bibliotheken in Software-Paketmanagern. Sicherheitsberichte von ENISA und anderen Institutionen zeigen, dass solche Lieferkettenangriffe seit Jahren zu den wachstumsstärksten Bedrohungen zählen.
Für Organisationen bedeutet dies, dass KI-Skills wie ausführbare Dateien, Makros oder Browser-Erweiterungen behandelt werden müssen: mit strikter Quellenkontrolle, formalen Freigabeprozessen, Code-Reviews, minimal notwendigen Berechtigungen und – wo möglich – Isolation der Ausführungsumgebung (z.B. Container, VM-Sandboxen, separate Service-Konten).
Sicherheits-Roadmap von OpenClaw und Konsequenzen für die Praxis
Parallel zur VirusTotal-Integration kündigt das OpenClaw-Team zusätzliche Massnahmen für eine proaktive Plattform-Sicherheit an. Geplant sind eine vollständige Bedrohungsmodellierung für Agent und Skills, eine öffentliche Security-Roadmap, ein formalisierter Prozess für Responsible Disclosure von Schwachstellen sowie ein unabhängiger Sicherheits-Audit der Codebasis.
Diese Transparenz ist für Unternehmen entscheidend, die OpenClaw in ihre KI-Infrastruktur einbinden wollen. Ein klar dokumentiertes Bedrohungsmodell und definierte Reaktionsprozesse ermöglichen es, eigene kompensierende Kontrollen zu planen, Risiken im bestehenden ISMS zu verankern und Compliance-Anforderungen besser zu erfüllen.
Die aktuellen Vorfälle rund um bösartige OpenClaw-Skills zeigen, dass KI-Agenten-Ökosysteme bereits heute ein attraktives Ziel für Angreifer sind. Technische Schutzmassnahmen wie VirusTotal-Scans, tägliche Re-Analysen und Community-Meldungen sind wichtige Bausteine, ersetzen aber keine grundlegende Sicherheitsstrategie. Nutzer sollten nur Skills aus vertrauenswürdigen Quellen installieren, Berechtigungen kritisch prüfen und installierte Erweiterungen regelmässig überprüfen. Organisationen sind gut beraten, zentrale Richtlinien für KI-Assistenten und deren Erweiterungen einzuführen, Zugriffe zu segmentieren und sicherheitsrelevante Ereignisse eng zu überwachen. Wer diese Governance früh etabliert, reduziert das Risiko von Datenabflüssen, finanziellen Schäden und Infrastrukturkompromittierungen durch scheinbar harmlose KI-Skills erheblich.
