OpenClaw, der Open-Source-KI-Agent des österreichischen Entwicklers Peter Steinberger, erreichte Anfang Februar 2026 157.000 GitHub-Stars und 2 Millionen wöchentliche Besucher. Gleichzeitig: eine CVSS-8.8-Remote-Code-Execution-Schwachstelle, 341 bösartige Skills im Marketplace und 24.478 öffentlich erreichbare Instanzen via Shodan. CrowdStrike veröffentlichte ein eigenes Advisory. Belgiens nationales Cybersicherheitszentrum gab eine Warnung heraus. Bitdefenders Empfehlung Nr. 1: “OpenClaw nicht auf Firmengeräten ausführen.”

Das ist kein Planspiel aus einem Threat-Modeling-Workshop. OpenClaw ist der erste reale Stresstest für alles, was Security-Teams in den letzten zwei Jahren über KI-Agenten-Sicherheit theoretisiert haben.

Weiterlesen: Was sind KI-Agenten? Ein praktischer Leitfaden für Entscheider

Was OpenClaw ist (und warum es so schnell gewachsen ist)

OpenClaw ist ein kostenloser, quelloffener KI-Agent, der lokal auf dem Rechner läuft und reale Aufgaben ausführt: E-Mails versenden, im Web recherchieren, Kalender verwalten, Dateien bearbeiten, mit Online-Diensten interagieren. Nutzer kommunizieren über WhatsApp, Telegram, Discord, Signal oder Slack. Der Agent verbindet sich mit externen LLMs (Claude, GPT, DeepSeek) für die Inferenz und nutzt über 100 vorkonfigurierte “AgentSkills”, erweiterbar über ClawHub, einen Community-Marketplace.

Die Entstehungsgeschichte ist bemerkenswert. Steinberger ist Absolvent der TU Wien und hat dort auch iOS- und Mac-Entwicklung gelehrt. Mit PSPDFKit (heute Nutrient) baute er ein PDF-SDK-Unternehmen auf, dessen Tools in Apps mit fast 1 Milliarde Nutzern zum Einsatz kamen. Nach einer 116-Millionen-Dollar-Finanzierung durch Insight Partners (rund 100 Millionen Euro) und dem Verkauf des Unternehmens zog er sich zurück. OpenClaw entstand als Hobbyprojekt. Den ersten Prototyp schrieb er in einer Stunde.

Die Produktivität eines Einzelnen ist dabei erstaunlich: 6.600 Commits allein im Januar 2026, parallel mit 5-10 KI-Agenten auf verschiedenen Features. Steinberger selbst dazu: “I ship code I don’t read.” Dieser Satz fasst sowohl das Versprechen als auch das Problem zusammen.

Die Namensgeschichte und Anthropics Markenrechtsbeschwerde

Das Projekt durchlief vier Namen in zwei Monaten. Es startete als “WhatsApp Relay”, wurde zu “Clawdbot” (Wortspiel mit Claude), erhielt eine Markenrechtsbeschwerde von Anthropic, wich auf “Moltbot” aus (Discord-Brainstorming, angelehnt an die Häutung eines Hummers) und landete am 30. Januar 2026 bei “OpenClaw”.

Für Security-Teams ist die Umbenennung relevant: Erkennungsregeln für “clawdbot”-Prozessnamen erfassen keine “openclaw”-Instanzen, und die Config-Verzeichnisse wechselten von .clawdbot zu .openclaw. CrowdStrikes Removal Content Pack prüft deshalb explizit alle historischen Namen auf Windows, macOS und Linux.

Der Sicherheits-Breakdown: CVEs, Malware und exponierte Infrastruktur

Drei schwerwiegende Sicherheitsprobleme traten gleichzeitig auf, jedes für sich ernst, in Kombination verheerend.

CVE-2026-25253: Ein Klick zum vollen Maschinenzugriff

Sicherheitsforscher Mav Levin bei depthfirst fand eine Remote-Code-Execution-Schwachstelle mit CVSS 8.8. Die Angriffskette ist straightforward:

  1. Das Opfer klickt einen präparierten Link
  2. Client-seitiges JavaScript stiehlt das Auth-Token (OpenClaw validierte keine WebSocket-Origin-Header)
  3. Der Angreifer verbindet sich via WebSocket mit dem gestohlenen Token (operator.admin und operator.approvals Scopes)
  4. Nutzerbestätigung wird deaktiviert (exec.approvals.set auf “off”)
  5. Ausbruch aus dem Docker-Container (tools.exec.host auf “gateway”)
  6. Volle Remote Code Execution auf dem Host

Steinberger beschrieb den Impact selbst: “Clicking a crafted link or visiting a malicious site can send the token to an attacker-controlled server.” Ein Patch erschien mit Version 2026.1.29, doch alle älteren Installationen blieben angreifbar.

ClawHavoc: 341 bösartige Skills im Marketplace

Koi Security setzte einen OpenClaw-Bot namens “Alex” ein, um den gesamten ClawHub-Marketplace zu auditieren. Von 2.857 untersuchten Skills waren 341 bösartig: 11,9% des gesamten Marketplace. 335 davon ließen sich auf dieselbe Kampagne zurückführen, getauft “ClawHavoc”.

Die primäre Payload war Atomic Stealer (AMOS), ein macOS-Stealer, der als Malware-as-a-Service für 500-1.000 Dollar pro Monat vertrieben wird. Er entwendet Keychain-Credentials, Browserdaten, Krypto-Wallets, Telegram-Sessions, SSH-Schlüssel und Dateien aus Desktop- und Dokumente-Ordnern. Ein einzelner Nutzer (Hightower6eu) lud 354 bösartige Pakete hoch. Ein anderer (Sakaen736jih) reichte im Minutentakt automatisiert Skills ein.

Die Angriffskategorien zeigten Kreativität: 100+ tarnten sich als Kryptowährungs-Tools (Solana-Wallets, Phantom-Wallet-Utilities), 57 als YouTube-Utilities, 51 als Finanz-/Social-Media-Tools. Typosquatting-Varianten von “clawhub” selbst tauchten auf (“cllawhub”, “clawhubb”).

Parallel dazu stellte Snyk fest, dass 283 Skills (7,1% von rund 4.000) sensible Credentials exponieren, indem sie KI-Agenten anweisen, API-Schlüssel, Passwörter und Kreditkartennummern im Klartext durch das LLM-Kontextfenster zu schleusen.

Weiterlesen: KI-Agenten in der Cybersecurity: Angriff, Verteidigung und das Wettrüsten

24.478 öffentlich erreichbare Instanzen

Cyera Research Labs scannte mit Shodan und fand 24.478 aus dem Internet erreichbare OpenClaw-Server. 15,31% (3.746 Instanzen) waren über mDNS-Dienste exponiert. Geografische Verteilung: 65% in den USA, China und Singapur.

CrowdStrike bestätigte eine wachsende Zahl von Instanzen, die über unverschlüsseltes HTTP erreichbar waren. Außerdem wurde eine Wallet-Draining Prompt Injection in einem Moltbook-Post entdeckt: ein realer Beweis für aktive Ausnutzung.

Der Moltbook-Breach: 1,5 Millionen API-Tokens exponiert

Moltbook, ein Social Network exklusiv für OpenClaw-Agenten (“Reddit für Bots”), startete am 28. Januar 2026. Innerhalb von Tagen gab es 1,5 Millionen registrierte Agenten hinter rund 17.000 menschlichen Konten: ein Bot-zu-Mensch-Verhältnis von 88:1.

Cloud-Security-Firma Wiz entdeckte eine katastrophale Fehlkonfiguration: Ein Supabase-API-Key war im clientseitigen JavaScript hartcodiert, und Row Level Security (RLS) fehlte komplett. Der öffentlich sichtbare Schlüssel gewährte vollen Lese- und Schreibzugriff auf alle Tabellen. Die Forscher erlangten in unter 3 Minuten vollständigen Datenbankzugriff.

Was exponiert wurde: 1,5 Millionen API-Authentifizierungstoken, 35.000 E-Mail-Adressen, Tausende private Nachrichten (einige mit OpenAI-API-Keys im Klartext) und 29.631 Early-Access-Signup-E-Mails. CPO Magazine berichtete über den vollen Umfang. Moltbook patchte innerhalb von Stunden nach dem Disclosure, doch jeder, der die Daten im Expositionszeitraum abgegriffen hatte, besaß alles.

Weiterlesen: KI-Agent-Identität: Warum Agenten eigenes IAM brauchen

Was das für Sicherheitsteams in Unternehmen bedeutet

OpenClaw ist nicht einfach ein weiteres verwundbares Open-Source-Tool. Es ist der erste reale Belastungstest für die Sicherheit von KI-Agenten im Unternehmenskontext, und die Ergebnisse sind ernüchternd.

Shadow AI ist bereits da

Trend Micro stellte fest, dass jedes fünfte Unternehmen OpenClaw ohne IT-Freigabe einsetzte. Eine IBM/Censuswide-Studie von Ende 2025 beziffert den breiteren Shadow-AI-Anteil auf 80% der Beschäftigten in Unternehmen mit 500+ Mitarbeitern, die nicht genehmigte KI-Tools nutzen.

Die Erkennung ist nicht trivial. Lasso Security dokumentierte die Indikatoren: Config-Verzeichnisse (.openclaw, .clawdbot, .clawhub), lokale Gateway-Ports TCP 18789 und 18793, spezifische Prozess-Signaturen. CrowdStrikes Falcon nutzt DNS-Monitoring für openclaw.ai-Anfragen, Paketinventur via Homebrew/NPM und External Attack Surface Management zur Erkennung öffentlich exponierter Instanzen.

Für DACH-Unternehmen kommt eine zusätzliche Dimension hinzu: Sobald OpenClaw sich mit externen LLM-APIs (OpenAI, Anthropic, DeepSeek) verbindet, werden Nutzerdaten an diese Anbieter übermittelt. Das wirft Fragen zur DSGVO-Konformität auf, insbesondere wenn Mitarbeiter den Agent ohne Genehmigung der IT auf Firmengeräten installieren und Unternehmensdaten durch die LLM-Kontextfenster fließen.

Die Skills-Supply-Chain ist ungeprüft

Ciscos Analyse veröffentlichte einen Open-Source-Skill-Scanner für statische Analyse, Verhaltensanalyse, LLM-gestützte semantische Prüfung und VirusTotal-Integration. Ihr Befund: Ein Skill namens “What Would Elon Do?” stand auf Platz 1 im Repository, obwohl er neun Sicherheitsbefunde enthielt, darunter zwei kritische Command-Injection-Schwachstellen.

OpenClaws eigene Dokumentation räumt ein: “There is no ‘perfectly secure’ setup.” Das ist ehrlich. Es ist auch ein Warnsignal für jede Organisation, die den Agent auf Rechnern mit Zugriff auf Unternehmensressourcen betreibt.

Cyeras Audit von 1.937 ClawHub-Skills ergab: 336 fordern Google-Workspace-Zugriff, 170 fordern Microsoft-365-Zugriff, 127+ fordern rohe Secrets statt OAuth und 179 laden unsignierte Binaries herunter. Anders als ChatGPT Agent erzwingt OpenClaw keine obligatorische menschliche Freigabe für sensible Aktionen, einschließlich Finanztransaktionen.

Prompt Injection eröffnet persistente C2-Kanäle

Zenity-Forschung zeigte, dass ein bösartiges Dokument mit Prompt-Injection-Payload OpenClaw dazu bringen konnte, eine Telegram-Bot-Integration einzurichten. Das ermöglicht Angreifern persistenten Command-and-Control-Zugang für Datenexfiltration, Ransomware-Deployment und laterale Bewegung im Netzwerk. Die Angriffsfläche umfasst jede Datenquelle, die der Agent konsumiert: E-Mails, Kalendereinladungen, geteilte Dokumente, Chat-Nachrichten.

Weiterlesen: KI-Agent-Wildwuchs: Warum die Hälfte aller Agenten ohne Kontrolle läuft

Konkrete Maßnahmen für Sicherheitsteams

CrowdStrikes Removal Content Pack für Falcon for IT deckt den gesamten Erkennungs- und Entfernungszyklus ab. Die weitergehende Reaktion sollte umfassen:

Inventarisierung zuerst. Scannen Sie nach .openclaw, .clawdbot und .clawhub Config-Verzeichnissen. Prüfen Sie openclaw.ai-DNS-Anfragen. Überwachen Sie TCP-Ports 18789 und 18793. Nutzen Sie Bitdefenders Osquery-Regel: SELECT pid, name, path, cmdline FROM processes WHERE name LIKE '%openclaw%'.

Marketplace blockieren. Fügen Sie ClawHub-Domains Ihrem Web-Filter hinzu. Unsignierte Skills aus Community-Marketplaces sollten wie unsignierte npm-Pakete aus einer unbekannten Registry behandelt werden: nicht auf Firmenrechnern erlaubt.

KI-Agenten-Richtlinie aktualisieren. Falls Sie keine haben, ist OpenClaw der Anlass, eine zu erstellen. Gravitees 2026-Umfrage ergab, dass nur 14,4% der Organisationen eine vollständige Security- und IT-Freigabe für alle KI-Agenten vor dem Go-Live haben.

Skills vor dem Deployment auditieren. Ciscos Open-Source-Skill Scanner ist ein Startpunkt. Jeder Skill, der Google Workspace, Microsoft 365 oder rohe API-Credentials anfordert, sollte eine manuelle Sicherheitsprüfung durchlaufen.

OpenClaw selbst ist nicht bösartig. Es ist ein beeindruckendes Stück Ingenieursarbeit eines talentierten Entwicklers, der ein Stück weit von der DACH-Szene geprägt ist. Die Sicherheitsprobleme entstehen, weil die Adoption schneller wächst als die Sicherheitsüberprüfung, genau das Muster, das sich bei Docker-Containern, Kubernetes-Deployments und npm-Paketen wiederholt hat. Der Unterschied: KI-Agenten speichern nicht nur Daten und führen Code aus. Sie handeln autonom, und sie handeln schnell.

Häufig gestellte Fragen

Was ist OpenClaw und warum ist es ein Sicherheitsrisiko?

OpenClaw ist ein kostenloser, quelloffener KI-Agent mit über 157.000 GitHub-Stars, der lokal läuft und reale Aufgaben wie E-Mail-Versand, Web-Recherche und Dateiverwaltung ausführt. Es wurde zum Sicherheitsrisiko durch eine CVSS-8.8-Remote-Code-Execution-Schwachstelle (CVE-2026-25253), 341 bösartige Skills im ClawHub-Marketplace und 24.478 öffentlich erreichbare Instanzen.

Was ist die ClawHavoc-Malware-Kampagne?

ClawHavoc ist eine Malware-Kampagne, die 341 bösartige Skills (11,9% des Marketplace) in OpenClaws ClawHub-Skills-Marketplace platzierte. Die primäre Payload war Atomic Stealer (AMOS), ein macOS-Stealer, der Keychain-Credentials, Browserdaten, Krypto-Wallets und SSH-Schlüssel entwendet. Ein einziger Angreifer lud 354 bösartige Pakete hoch.

Wie erkennt man OpenClaw auf Firmengeräten?

Suchen Sie nach den Config-Verzeichnissen .openclaw, .clawdbot und .clawhub, überwachen Sie TCP-Ports 18789 und 18793, prüfen Sie openclaw.ai-DNS-Anfragen und scannen Sie nach Prozessnamen mit “openclaw”. CrowdStrike bietet ein eigenes Detection-and-Removal-Content-Pack für Falcon for IT. Bitdefender liefert eine Osquery-Regel zur Prozesserkennung.

Was war der Moltbook-Datenleck?

Moltbook, ein Social Network für OpenClaw-KI-Agenten, exponierte 1,5 Millionen API-Authentifizierungstoken, 35.000 E-Mail-Adressen und Tausende private Nachrichten aufgrund eines hartcodierten Supabase-API-Keys in clientseitigem JavaScript und fehlender Row Level Security. Die Sicherheitsfirma Wiz erlangte in unter 3 Minuten vollständigen Datenbankzugriff.

Wer hat OpenClaw entwickelt?

Peter Steinberger, ein österreichischer Entwickler und Absolvent der TU Wien, entwickelte OpenClaw als Hobbyprojekt nach dem Verkauf seines Unternehmens PSPDFKit (heute Nutrient) mit einer 116-Millionen-Dollar-Finanzierungsrunde von Insight Partners. Er schrieb den ersten Prototypen in einer Stunde und machte allein im Januar 2026 über 6.600 Commits.