Mehr als 220.000 weltweit erreichbare OpenClaw-Instanzen ohne wirksamen Zugriffsschutz – diese Zahl aus einer aktuellen Analyse von SecurityScorecard zeigt, wie schnell sich KI-Assistenten von praktischen Helfern zu einem massiven Sicherheitsrisiko entwickeln koennen. Weil OpenClaw tief in Systeme, Messenger und lokale Dienste integriert ist, entspricht die Uebernahme eines einzelnen Agents im Extremfall der Kompromittierung der gesamten Benutzer- oder Unternehmensumgebung.
Was ist OpenClaw? Lokaler KI-Assistent mit globaler Angriffsfläche
OpenClaw ist ein Open-Source-KI-Assistent fuer die lokale Ausfuehrung, der sich mit gängigen Kommunikationsdiensten wie WhatsApp, Telegram, Slack und Discord verbindet. Der Agent kann Aufgaben zeitgesteuert ausfuehren, Anfragen automatisch verarbeiten, mit anderen Agents interagieren und lokale Services steuern – von Dateien ueber Browser bis hin zu Passwort-Speichern.
Seit dem Start im November 2025 hat das Projekt rasant an Popularitaet gewonnen: Der GitHub-Repository verzeichnet nahezu 200.000 Sterne, rund um OpenClaw ist eine eigenstaendige Oekosystem-Landschaft entstanden. Der Entwickler Peter Steinberger trieb die Implementierung in hoher Geschwindigkeit voran – allerdings offenbar ohne formalisierte Secure-Development-Prozesse und umfassende Sicherheitstests, wie sie etwa von OWASP oder in gängigen Secure-SDLC-Modellen empfohlen werden.
Ergaenzend entstanden Projekte wie Moltbook, eine Art „soziales Netzwerk“ fuer OpenClaw-Agents, sowie ClawHub, eine Plattform fuer Erweiterungen („Skills“), mit denen sich die Faehigkeiten der Agents ausbauen lassen.
SecurityScorecard findet ueber 220.000 offen erreichbare OpenClaw-Instanzen
SecurityScorecard identifizierte in einem Internet-weiten Scan zunaechst rund 135.000 exponierte OpenClaw-Instanzen, kurz darauf stieg der Zaehler auf ueber 220.000 oeffentlich erreichbare Services – Tendenz weiter steigend. Aehnliche Scans, etwa mit Suchmaschinen wie Shodan, zeigen seit Jahren Millionen fehlkonfigurierter Datenbanken und Admin-Oberflaechen; OpenClaw reiht sich hier in eine laenger bekannte Problemkategorie falsch konfigurierte Dienste ein, erweitert diese aber um die Dimension autonomer KI-Aktionen.
Praktisch bedeutet dies: Jeder, der eine solche Instanz im Internet findet, kann versuchen, direkt mit dem KI-Agenten zu interagieren. Da OpenClaw in vielen Setups mit erweiterten Rechten laeuft, kann ein Angreifer ueber den kompromittierten Agenten nicht nur Daten abziehen, sondern auch aktive Aktionen im System ausloesen – etwa Skripte ausfuehren, Konfigurationen aendern oder weitere Malware nachladen.
Sicherheitsprobleme der OpenClaw-Oekosysteme ClawHub und Moltbook
Bereits vor der aktuellen Analyse stand das OpenClaw-Oekosystem im Fokus von Sicherheitsexperten. Im offiziellen ClawHub-Repository wurden Hunderte potenziell schaedliche oder kompromittierte Skills identifiziert. Ueber solche Erweiterungen lassen sich KI-Agents dazu bringen, API-Schluessel, Zahlungsinformationen oder personenbezogene Daten ungewollt preiszugeben.
Zusaetzlich wurden im OpenClaw-Kern mindestens drei schwerwiegende Schwachstellen bekannt, die Codeausfuehrung und Zugriffskontrolle betreffen. In Kombination mit oeffentlich erreichbaren Instanzen ergibt sich eine attraktive Angriffsoberflaeche, vergleichbar mit frueheren Wellen offener Elasticsearch-, Redis- oder MongoDB-Server, allerdings erweitert um den Aspekt, dass der Dienst aktiv im Auftrag des Angreifers handeln kann.
Technische Ursache: Bindung an 0.0.0.0 und fehlender Zugriffsschutz
Unsichere Default-Konfiguration als Ausloeser
Im Zentrum der Massenexposition steht die Standardkonfiguration von OpenClaw. Der Dienst bindet per Voreinstellung an 0.0.0.0:18789. Technisch bedeutet das: Der Agent lauscht auf allen Netzwerkinterfaces – einschliesslich oeffentlicher IP-Adressen – und ist damit direkt aus dem Internet ansprechbar. Fuer lokale Assistenten waere eine Bindung an 127.0.0.1 (localhost) deutlich sicherer, weil der Zugriff dann nur vom jeweiligen Host aus moeglich ist.
Verstaerkt wird das Problem durch einen sehr komfortabel gehaltenen Deploy-Prozess, fehlende starke Authentifizierung und unzureichende Zugriffskontrollen. In Summe fuehrt dies zu einer grossflächigen Exposition von KI-Agenten, die urspruenglich als produktive Helfer gedacht waren – und nun als Einfallstor fuer Angreifer fungieren.
Risiko wie ein unkontrollierter Remote-Benutzer
Aus Sicht der Angriffsflaechen-Analyse laesst sich OpenClaw mit einem Remote-Benutzer mit weitreichenden Rechten vergleichen. Solange alle Aktionen eng kontrolliert und protokolliert werden, kann der Agent Mehrwert bieten. Wird der Dienst jedoch aus dem Internet ohne Authentifizierung erreicht, kann praktisch jede externe Instanz Anfragen einspeisen – inklusive Angreifer.
Da OpenClaw haeufig Zugriff auf Dateisystem, Passwort-Tresore, Browser-Daten, Messenger-Verlaeufe und Caches mit persoenlichen Informationen besitzt, erhaelt ein erfolgreicher Angreifer einen nahezu vollstaendigen Einblick in die Umgebung und kann sie als Sprungbrett fuer weitere Angriffe nutzen.
Risiken fuer Unternehmen durch unsichere KI-Agenten
Besonders kritisch ist, dass ein signifikanter Teil der gefundenen Instanzen auf unternehmensbezogene IP-Raeume zurueckgeht. Offenbar setzen Organisationen OpenClaw produktiv ein – teils ohne formale Risikobewertung oder Einbindung der IT-Sicherheitsabteilung.
In Unternehmensnetzwerken kann ein kompromittierter KI-Agent als Ausgangspunkt fuer lateral movement dienen: Angreifer bewegen sich von System zu System, exfiltrieren sensitive Daten, installieren Ransomware oder fuehren gezielte Phishing-Kampagnen scheinbar „aus dem Inneren“ heraus durch. Studien wie der Verizon Data Breach Investigations Report zeigen seit Jahren, dass falsch konfigurierte Dienste und gestohlene Zugangsdaten zu den haeufigsten Initialvektoren gehoeren – OpenClaw fuegt dieser Liste nun eine neue Kategorie hinzu.
Empfohlene Sicherheitsmassnahmen fuer OpenClaw und aehnliche KI-Assistenten
SecurityScorecard ruft alle Nutzer dazu auf, sofort die Netzwerkbindung auf localhost zu aendern, den Zugriff von externen IP-Adressen zu blockieren und zusaetzliche Sicherheitskontrollen einzufuehren. Dazu gehoeren insbesondere robuste Authentifizierungsmechanismen, IP-Filter, der Einsatz von VPN-Loesungen und eine konsequente Netzsegmentierung.
Die Herausforderung reicht jedoch ueber eine reine Fehlkonfiguration hinaus. OpenClaw ist konzeptionell darauf ausgelegt, Aenderungen im System vorzunehmen und Dienste nach aussen zu oeffnen. Entsprechend sollten Organisationen KI-Agents grundsaetzlich wie nicht vertrauenswuerdige, privilegierte Komponenten behandeln. Empfehlenswert sind insbesondere:
- Deployment auf dedizierten Systemen oder in isolierten virtuellen Umgebungen mit klar begrenzten Rechten;
- Anwendung des Prinzips der minimal erforderlichen Privilegien und strikte Trennung von kritischen Kernsystemen;
- regelmaessige Port- und Service-Audits, Log-Analyse und Monitoring auf anomale Aktivitaeten der KI-Agenten;
- sorgfaeltige Vertrauenspruefung und Test aller Skills aus ClawHub und aehnlichen Markplaetzen vor dem Einsatz in produktiven Umgebungen.
Die massive Exposition von OpenClaw verdeutlicht, dass KI-Agenten eine neue, eigenstaendige Angriffsoberflaeche darstellen. Entwickler muessen Sicherheitsprinzipien wie „secure by default“ und „privacy by design“ konsequent beruecksichtigen. Unternehmen sollten KI-Assistenten nur kontrolliert, segmentiert und mit minimalen Rechten betreiben, ihre Konfiguration regelmaessig ueberpruefen und Mitarbeitende fuer die spezifischen Risiken von KI-Systemen sensibilisieren. Wer diese Punkte ignoriert, riskiert, dass der eigene „smarte Helfer“ zum maechtigen Werkzeug in den Haenden von Angreifern wird.
