Clawdbot erreichte am Wochenende des 24./25. Januar 2026 60.000 GitHub-Stars. 72 Stunden später hatte Sicherheitsforscher Jamieson O’Reilly von der Red-Teaming-Firma Dvuln über Shodan mehr als 900 unauthentifizierte Control Panels im öffentlichen Internet gefunden. Jedes einzelne leakte Anthropic-API-Keys, Telegram-Bot-Tokens, Slack-OAuth-Secrets und komplette Chatverläufe im Klartext. Als das Projekt sich am 27. Januar in Moltbot umbenannte, hatten RedLine, Lumma und Vidar bereits Clawdbot-spezifische Stealer-Module im Einsatz, die gezielt das Verzeichnis ~/.clawdbot/ durchsuchten.
Kein ausgeklügelter Angriff. Eine Standardkonfiguration traf auf die Realität.
Der Localhost-Trugschluss: Wie 900 Gateways schutzlos im Netz landeten
Clawdbots Gateway nutzt kryptographische Geräte-Authentifizierung über Challenge-Response-Protokolle für Remote-Verbindungen. Verbindungen von 127.0.0.1 werden allerdings automatisch genehmigt, denn localhost ist ja man selbst. Auf dem eigenen Laptop funktioniert das. Hinter einem Reverse Proxy auf demselben Server wird es zur Katastrophe.
Wenn gateway.trustedProxies leer bleibt (die Standardeinstellung), ignoriert das Gateway X-Forwarded-For-Header und liest nur die Socket-Adresse. Jede Verbindung, die der Reverse Proxy weiterleitet, kommt vom Loopback-Interface. Das Gateway sieht localhost. Die Authentifizierung wird umgangen. SlowMist warnte am 26. Januar, dass hunderte Gateways so betrieben wurden und sämtliche Konfigurationsdateien offenlegten.
Die exponierten Daten beschränkten sich nicht auf Chatprotokolle. In den Konfigurationsdumps steckten:
- Anthropic Claude API-Keys (hunderte Dollar Nutzungsguthaben pro Key)
- Telegram-Bot-Tokens (volle Kontrolle über verknüpfte Bots)
- Slack-OAuth-Secrets (Workspace-weiter Zugang)
- Discord-Integrations-Tokens
- Geräte-Pairing-Metadaten und Signaturschlüssel
Anders als Browser-Passwortdatenbanken, die unter Windows mit DPAPI oder unter macOS mit der Keychain verschlüsselt sind, speichert Clawdbot Zugangsdaten in Klartext-JSON- und Markdown-Dateien. Eine einzige Shodan-Abfrage lieferte den Schlüssel zu allem.
Warum das schlimmer war als ein Datenleck
Clawdbot-Agenten sind keine passiven Datenspeicher. Sie können aktiv Nachrichten senden, Werkzeuge ausführen und Befehle über Telegram, Slack, Discord und WhatsApp absetzen. Ein Angreifer mit Zugang zur Steuerungsebene konnte den Betreiber imitieren, manipulierte Nachrichten in laufende Gespräche einschleusen und Daten über vertrauenswürdige Integrationen abziehen, ohne eine einzige Anomalieerkennung auszulösen. Der Agent war bereits autorisiert. Der Angreifer übernahm nur seine Identität.
Matvey Kukuy, CEO von Archestra AI, demonstrierte einen Prompt-Injection-Angriff in etwa fünf Minuten: Er schickte eine präparierte E-Mail an eine Adresse, die von einer Clawdbot-Instanz überwacht wurde. Der Agent las die E-Mail, führte die eingeschleusten Anweisungen aus und exfiltrierte einen privaten SSH-Key. Keine Schwachstelle ausgenutzt. Nur eine gut formulierte Nachricht an ein Tool, das alles liest.
Infostealer waren schneller als Sicherheitsteams
Die Geschwindigkeit der Ausnutzung war bemerkenswert. Guardz-Threat-Intelligence bestätigte, dass drei große Infostealer-Familien innerhalb von 48 Stunden nach dem viralen Durchbruch Clawdbot-spezifische Module einsetzten:
RedLine Stealer nahm das ~/.clawdbot/-Verzeichnis in seine Sammelliste auf und erntete Konfigurationsdateien, API-Keys und Chatverläufe neben den üblichen Browser-Credentials.
Lumma Stealer setzte ein Modul ein, das gezielt Clawdbots Klartext-Credential-Speicher ansteuerte und gestohlene API-Keys für den Weiterverkauf auf Darknet-Marktplätzen paketierte.
Vidar Stealer erweiterte seine Dateisammler-Komponente um Clawdbot-Konfigurationspfade auf Windows, macOS und Linux.
VentureBeat berichtete, dass diese Stealer-Familien ihre Ziellisten aktualisierten, bevor die meisten Enterprise-Sicherheitsteams überhaupt wussten, dass Clawdbot in ihren Umgebungen lief. Die Angreifer erkannten den Wert der gespeicherten Credentials schneller als die Verteidiger das Risiko.
Bis Ende Januar hatte Censys 21.639 öffentlich erreichbare Instanzen katalogisiert. Nicht alle waren unauthentifiziert, aber die Kombination aus Standard-Fehlkonfigurationen und Klartext-Credential-Speicherung bedeutete, dass selbst ein Bruchteil dieser Instanzen tausende kompromittierte API-Keys und Tokens enthielt.
Das Shadow-AI-Problem ist keine Theorie mehr
Der Clawdbot-Vorfall ist das bisher deutlichste Beispiel für Shadow AI im Unternehmensmaßstab. Mitarbeiter luden ein trendendes GitHub-Projekt herunter, starteten es auf Firmenrechnern, verbanden es mit dem Unternehmens-Slack und E-Mail-Konten, und niemand in der IT oder im Sicherheitsteam wusste davon, bis die Vorfallsmeldungen eintrudelten.
Brandefense formulierte es präzise: Dies ist die Weiterentwicklung von Shadow IT zu Shadow AI. Der entscheidende Unterschied liegt im Wirkungsradius. Wenn ein Mitarbeiter ein nicht genehmigtes SaaS-Tool installierte, beschränkte sich der Schaden auf die manuell eingegebenen Daten. Wenn ein Mitarbeiter einen KI-Agenten mit Zugang zu E-Mail, Messaging-Plattformen und Cloud-Zugangsdaten einsetzt, kann der Agent autonom auf alles zugreifen, verarbeiten und übertragen, womit er verbunden ist.
Eine IBM-/Censuswide-Studie aus Ende 2025 ergab, dass 80% der Beschäftigten in Organisationen mit über 500 Mitarbeitern KI-Tools nutzen, die nicht vom Arbeitgeber genehmigt sind. Trend Micro bestätigte, dass jede fünfte Organisation Clawdbot (oder dessen spätere Varianten) ohne IT-Freigabe eingesetzt hat.
Das Erkennungsproblem verschärft die Lage. Clawdbot wurde innerhalb von zwei Monaten dreimal umbenannt: Clawdbot, dann Moltbot, dann OpenClaw. Jede Umbenennung änderte Prozessnamen, Konfigurationsverzeichnispfade und DNS-Muster. Erkennungsregeln für clawdbot-Prozesse übersehen moltbot- und openclaw-Instanzen komplett. CrowdStrikes Removal Content Pack prüft ausdrücklich alle historischen Namen auf Windows, macOS und Linux. Die meisten Unternehmen haben allerdings kein CrowdStrike-Niveau bei der Detection-Entwicklung.
Für Unternehmen im DACH-Raum kommt eine weitere Dimension hinzu: Der EU AI Act verlangt ab August 2026 Transparenz- und Governance-Anforderungen für KI-Systeme. Ein Shadow-AI-Agent, der ohne Wissen der IT-Abteilung auf Unternehmensdaten zugreift, verstößt potenziell gegen die DSGVO-Grundsätze der Datenminimierung und Zweckbindung. Die Datenschutz-Folgenabschätzung (DSFA), die Artikel 35 DSGVO für Hochrisiko-Verarbeitungen vorschreibt, wurde für keinen dieser Clawdbot-Einsätze durchgeführt.
Was das 72-Stunden-Fenster über Agent-Sicherheit lehrt
Der Clawdbot-Zusammenbruch komprimierte eine ganze Kategorie von Sicherheitsversagen in drei Tage. Jede Lektion gilt für jeden KI-Agenten, den Ihre Organisation einsetzen könnte.
Standardkonfigurationen sind tödlich
Die trustedProxies: []-Standardeinstellung war die Ursache. Niemand nutzte einen Bug aus. Niemand knackte eine Verschlüsselung. Die Angreifer verbanden sich mit einem Dienst, der so konfiguriert war, ihnen standardmäßig zu vertrauen. Dasselbe Muster, das 2017 tausende MongoDB-Instanzen, 2019 tausende Elasticsearch-Cluster und 2020 tausende Kubernetes-Dashboards exponierte. KI-Agenten erben jedes Infrastruktur-Fehlkonfigurationsmuster, das wir bisher nicht behoben haben.
Klartext-Credentials gehören allen
API-Keys, OAuth-Tokens und Signaturschlüssel in unverschlüsselten JSON- und Markdown-Dateien zu speichern, verstößt gegen jeden Grundsatz der Credential-Verwaltung. Selbst bei korrekt authentifiziertem Gateway würde eine separate Anwendungsschwachstelle, ein Filesystem-Traversal oder ein kompromittiertes Backup dieselben Credentials offenlegen. Agent-Tooling muss betriebssystemeigene Credential-Speicher (Keychain, DPAPI, libsecret) oder dedizierte Secrets-Manager wie HashiCorp Vault oder AWS Secrets Manager nutzen.
Angreifer-Toolchains passen sich in Stunden an, nicht in Monaten
RedLine, Lumma und Vidar lieferten Clawdbot-spezifische Module innerhalb von 48 Stunden. Die Ökonomie dahinter: Anthropic-API-Keys werden auf Darknet-Märkten für 50-200 Dollar gehandelt, je nach verbleibendem Guthaben. Ein einziger erfolgreicher Diebstahl refinanziert die Modulentwicklung mehrfach. Jedes neue KI-Tool mit gespeicherten Credentials wird sofort zum Ziel für Commodity-Malware.
Man kann nicht schützen, was man nicht sieht
Das Shadow-Deployment-Muster ist der eigentliche Bedrohungsmultiplikator. Eine bekannte, genehmigte Clawdbot-Instanz lässt sich mit korrekter Proxy-Konfiguration, Authentifizierungsdurchsetzung und Credential-Verschlüsselung härten. Eine unbekannte Instanz auf dem Entwickler-Laptop, verbunden mit dem Firmen-Slack über ein persönliches API-Token, bleibt unsichtbar, bis der Schaden sichtbar wird.
Härtungs-Checkliste für Sicherheitsteams
Falls Clawdbot, Moltbot oder OpenClaw irgendwo in Ihrer Umgebung läuft, haben Bitdefender, CrowdStrike und Lasso Security Erkennungs- und Behebungsanleitungen veröffentlicht. Der gemeinsame Nenner:
Auf alle drei Namen prüfen. .clawdbot, .moltbot und .openclaw als Konfigurationsverzeichnisse suchen. TCP-Ports 18789 und 18793 überwachen. DNS-Logs nach clawdbot.ai, moltbot.ai und openclaw.ai durchsuchen.
gateway.trustedProxies explizit setzen. Hinter einem Reverse Proxy die vertrauenswürdigen Proxy-IP-Adressen konfigurieren, damit das Gateway die echte Client-IP aus X-Forwarded-For-Headern lesen kann.
Jedes exponierte Credential sofort rotieren. Jeder Anthropic-, OpenAI-, Telegram-, Slack- oder Discord-Token, der in einer Clawdbot-Konfigurationsdatei gespeichert war, ist als kompromittiert zu betrachten. Widerrufen und neu generieren.
ClawHub-Marketplace blockieren. Community-Skills aus ungeprüften Marketplaces sind von Supply-Chain-Angriffen nicht zu unterscheiden, solange sie nicht auditiert wurden.
KI-Agent-Richtlinie aktualisieren. Wenn Ihre Sicherheitsrichtlinie nicht ausdrücklich von Mitarbeitern eingesetzte KI-Agenten adressiert, ist der Clawdbot-Vorfall die Fallstudie, die das Verfassen einer solchen Richtlinie rechtfertigt. Im DACH-Raum sollte diese Richtlinie auch die DSGVO-Anforderungen an Datenverarbeitung durch autonome Agenten und die bevorstehenden EU-AI-Act-Pflichten berücksichtigen.
Der Clawdbot-Vorfall war kein Einzelfall. Er war eine Vorschau. Jedes KI-Agent-Framework, das Credentials speichert, sich mit Messaging-Plattformen verbindet und Aktionen im Namen von Nutzern ausführt, wird dieselbe Angriffsfläche bieten. Das 72-Stunden-Fenster zwischen viraler Adoption und aktiver Ausnutzung ist die Zeitspanne, die Verteidiger unterbieten müssen.
Häufig gestellte Fragen
Was ist beim Clawdbot-Sicherheitsvorfall passiert?
Clawdbot ging am Wochenende des 24./25. Januar 2026 viral. Innerhalb von 72 Stunden fanden Sicherheitsforscher über 900 unauthentifizierte Control-Gateways offen im Internet, die Anthropic-API-Keys, Telegram-Tokens, Slack-OAuth-Secrets und Chatverläufe im Klartext preisgaben. Ursache war eine Standardkonfiguration, die Localhost-Verbindungen automatisch genehmigte, was hinter einem Reverse Proxy die gesamte Authentifizierung aushebelte.
Wie konnten Infostealer Clawdbot so schnell angreifen?
Die Stealer-Familien RedLine, Lumma und Vidar fügten innerhalb von 48 Stunden nach dem viralen Durchbruch Clawdbot-spezifische Module hinzu. Diese Module durchsuchten gezielt das ~/.clawdbot/-Verzeichnis nach API-Keys, OAuth-Tokens und Chatverläufen, die in Klartext-JSON- und Markdown-Dateien gespeichert waren. Gestohlene API-Keys haben auf Darknet-Märkten sofortigen Wiederverkaufswert.
Was ist das Shadow-AI-Risiko durch Clawdbot?
Mitarbeiter installierten Clawdbot auf Firmenrechnern und verbanden es mit Unternehmens-Slack, E-Mail und Messaging ohne IT-Genehmigung. Eine IBM-Studie ergab, dass 80% der Beschäftigten in Organisationen mit über 500 Mitarbeitern nicht genehmigte KI-Tools nutzen. Im Gegensatz zu klassischer Shadow IT, wo der Schadensradius auf manuell eingegebene Daten begrenzt ist, kann ein KI-Agent autonom auf alles zugreifen und übertragen, womit er verbunden ist.
Wie können Sicherheitsteams Clawdbot in ihrer Umgebung erkennen?
Nach Konfigurationsverzeichnissen namens .clawdbot, .moltbot und .openclaw suchen (das Projekt wurde dreimal umbenannt). TCP-Ports 18789 und 18793 überwachen. DNS-Logs nach clawdbot.ai, moltbot.ai und openclaw.ai durchsuchen. CrowdStrike, Bitdefender und Lasso Security haben detaillierte Erkennungs- und Entfernungsanleitungen veröffentlicht, die alle historischen Projektnamen abdecken.
Ist Clawdbot dasselbe wie OpenClaw?
Ja. Das Projekt startete als Clawdbot, wurde am 27. Januar 2026 nach einer Anthropic-Markenbeschwerde in Moltbot umbenannt und heißt seit dem 30. Januar 2026 OpenClaw. Alle drei Namen bezeichnen denselben Open-Source-KI-Agenten. Sicherheitsteams müssen nach allen drei Namen prüfen, da jede Umbenennung Prozessnamen, Konfigurationspfade und Erkennungssignaturen änderte.