AI-Fähigkeiten-Marktplätze: Warum offene Register ein Sicherheitsalbtraum sind

Die Anziehungskraft von KI-Fähigkeitsmarktplätzen

KI-Agenten-Fähigkeitsmarktplätze sind eine wirklich gute Idee. Anstatt jede Automatisierung von Grund auf neu zu erstellen, durchsuchst du ein Verzeichnis, installierst eine vorgefertigte Fähigkeit, und dein Agent erhält in Sekundenschnelle eine neue Funktionalität. E-Mail-Triage, Kalenderverwaltung, Code-Überprüfung, Datenpipeline-Orchestrierung – von der Community erstellte Fähigkeiten lassen dich das Boilerplate überspringen und direkt zum Ergebnis kommen.

Das ClawHub-Verzeichnis von OpenClaw hat im Februar 2026 5.705 von der Community erstellte Fähigkeiten. Die Kategorien reichen von Krypto-Handel und DeFi-Automatisierung bis hin zu Produktivitäts-Workflows und Social Media Management. Das Wachstum ist real. Die Nachfrage ist real. Die Leute wollen wiederverwendbare KI-Agenten-Fähigkeiten, und sie wollen sie von einer Community, die schneller baut als jeder einzelne Anbieter.

Das Konzept funktioniert. Die Umsetzung ist das Problem.

Das Problem mit offenen Verzeichnissen

ClawHub funktioniert als offenes Verzeichnis. Jeder mit einem mindestens eine Woche alten GitHub-Konto kann eine Fähigkeit veröffentlichen. Es gibt keine Code-Überprüfung. Es gibt kein Sandboxing. Es gibt keinen Prüfprozess. Du schreibst eine SKILL.md-Datei mit YAML-Frontmatter, lädst sie ins Verzeichnis hoch, und sie wird für jeden OpenClaw-Nutzer auf dem Planeten verfügbar.

Das ist dasselbe Vertrauensmodell, das npm und PyPI jahrelang verwendet haben, bevor Angriffe auf die Lieferkette zu einer branchenweiten Krise wurden. Der Unterschied ist, dass KI-Agenten-Fähigkeiten nicht nur Bibliotheken sind, die in einen Code-Basis importiert werden – sie sind Anweisungen, die ein autonomer Agent mit vollem Systemzugriff ausführt. Ein bösartiges npm-Paket kann eine Build-Pipeline gefährden. Eine bösartige KI-Agenten-Fähigkeit kann eine gesamte Maschine in Echtzeit kompromittieren.

Was die Forscher herausfanden

Im Februar 2026 veröffentlichte Snyk seinen ToxicSkills-Bericht, der 341 bestätigte bösartige Fähigkeiten auf ClawHub dokumentiert. Davon verwendeten 335 gefälschte Voraussetzungskontrollen, um macOS-Stealer-Malware zu installieren – konkret Atomic Stealer (AMOS), einen bekannten Credential-Harvester, der Passwörter, Browser-Cookies, Kryptowährungs-Wallets und Schlüsselbund-Daten exfiltriert.

Das Angriffsmuster war einfach. Eine Fähigkeit erklärte eine Systemabhängigkeit in ihren Voraussetzungen. Wenn der Agent des Nutzers versuchte, diese Abhängigkeit zu erfüllen, führte er einen Shell-Befehl aus, der die Stealer-Binärdatei herunterlud und ausführte. Der Nutzer sah nie eine Aufforderung. Der Agent, der tat, was Agenten tun, versuchte, hilfreich zu sein.

Separat stellte die Analyse von Snyk fest, dass 36% der ClawHub-Fähigkeiten Prompt-Injection enthalten – versteckte Anweisungen, die in den Fähigkeitsdefinitionen eingebettet sind und darauf abzielen, das Verhalten des Agents zu manipulieren. Und das Sicherheitsteam von Cisco demonstrierte unabhängig Datenexfiltration durch eine Drittanbieter-Fähigkeit, die den Gesprächskontext stillschweigend an einen externen Server weiterleitete.

Das sind keine theoretischen Angriffe. Sie sind dokumentiert, bestätigt und in einigen Fällen immer noch im Verzeichnis aktiv.

Angriffe auf die Lieferkette sind der neue Vektor

Wenn sich das vertraut anhört, sollte es das. Die Softwareindustrie hat in den letzten fünf Jahren gelernt, dass offene Paketverzeichnisse ein primäres Ziel für Angriffe auf die Lieferkette sind. Bösartige Pakete auf npm. Typosquatting auf PyPI. Abhängigkeitsverwirrung, die auf interne Verzeichnisse abzielt. Das Muster ist gut etabliert: Angreifer veröffentlichen etwas, das nützlich aussieht, warten darauf, dass ahnungslose Nutzer es installieren, und führen dann ihren Payload aus.

KI-Agenten-Fähigkeitsmarktplätze erben jedes dieser Risiken, plus ein neues: Die Fähigkeiten importieren nicht nur Code – sie geben Anweisungen an einen autonomen Agenten mit Systemzugriff. Die Angriffsfläche ist kein Build-Server. Es ist deine gesamte Maschine. Dein Dateisystem. Deine Anmeldeinformationen. Deine Browsersitzungen.

Als Computerworld OpenClaw als “eine Sicherheitsnachtmahr” bezeichnete, übertrieben sie nicht. Als Gary Marcus es “eine Katastrophe, die darauf wartet, dass sie passiert” nannte, war die Katastrophe bereits 341 Mal passiert.

Wie ein sicherer Fähigkeitsmarktplatz aussieht

Die Antwort ist nicht, Fähigkeitsmarktplätze aufzugeben. Die Antwort ist, sie mit Sicherheit als Grundlage zu bauen, nicht als nachträglichen Gedanken. Ein sicherer Fähigkeitsmarktplatz benötigt fünf Dinge:

Obligatorische Code-Überprüfung. Jede Fähigkeitsübermittlung durchläuft eine automatisierte statische Analyse und eine menschliche Überprüfung, bevor sie die Nutzer erreicht. Keine Ausnahmen. Kein Schnellverfahren für beliebte Herausgeber.

Sandbox-Tests vor der Genehmigung. Fähigkeiten werden während des Überprüfungsprozesses in einer isolierten Umgebung ausgeführt. Die Prüfer beobachten, was die Fähigkeit tatsächlich tut – was sie zugreift, was sie herunterlädt, was sie über das Netzwerk sendet – nicht nur, was sie behauptet zu tun.

Laufzeit-Isolation. Selbst nach der Genehmigung laufen Fähigkeiten in sandboxed Containern. Wenn eine Fähigkeit irgendwie die Überprüfung mit verstecktem Verhalten besteht, begrenzt die Sandbox den Explosionsradius. Sie kann nicht auf das Host-Dateisystem, die Daten anderer Nutzer oder Systemanmeldeinformationen zugreifen.

Berechtigungsbereich. Fähigkeiten erklären die Berechtigungen, die sie benötigen. Dateizugriff, Netzwerkzugriff, spezifische API-Endpunkte. Die Laufzeit erzwingt diese Erklärungen. Eine Kalenderfähigkeit hat nichts darin zu suchen, deine SSH-Schlüssel zu lesen.

Community-Berichterstattung. Nutzer können verdächtiges Verhalten melden. Gemeldete Fähigkeiten werden vom Marktplatz entfernt und erneut überprüft. Der Feedback-Zyklus ist kontinuierlich.

Wie LikeClaw das handhabt

Bei LikeClaw durchläuft jede Fähigkeit im Marktplatz eine obligatorische Sicherheitsüberprüfung, bevor sie veröffentlicht wird. Fähigkeiten werden in E2B-sandboxed Containern getestet – derselben Isolationstechnologie, die deine Aufgaben zur Laufzeit schützt. Automatisierte Scans überprüfen bekannte Malware-Signaturen, Abhängigkeitsanfälligkeiten und Muster der Prompt-Injection. Menschliche Prüfer verifizieren die Ergebnisse.

Zur Laufzeit führen Fähigkeiten in isolierten Containern mit eingeschränkten Berechtigungen aus. Eine Fähigkeit kann nicht auf dein Dateisystem, deine Anmeldeinformationen oder dein Netzwerk über das hinaus zugreifen, was sie ausdrücklich erklärt und was die Sandbox erlaubt. Wenn eine Fähigkeit den gleichen Fake-Voraussetzungsangriff versucht hätte, der 335 ClawHub-Nutzer kompromittiert hat, würde die Sandbox sie eindämmen. Die Malware würde in einen Container heruntergeladen, der nach der Ausführung zerstört wird. Deine Maschine bleibt unberührt.

Das ist der Unterschied zwischen einem offenen Verzeichnis und einem geprüften Marktplatz. Der eine vertraut der Community, sich selbst zu überwachen. Der andere überprüft und vertraut dann.

Für einen tieferen Einblick in die Sicherheitsprobleme mit der Architektur von OpenClaw, siehe unsere Analyse in OpenClaw-Sicherheit: Was du wissen musst. Für einen Vergleich der beiden Ansätze, siehe LikeClaw vs OpenClaw.

Die Nachfrage nach KI-Agenten-Fähigkeiten wird nicht verschwinden. Die Frage ist, ob du sie aus einem Verzeichnis installierst, in dem 6% der Einreichungen bestätigte Malware sind, oder aus einem Marktplatz, in dem jede Fähigkeit überprüft, getestet und sandboxed wurde, bevor sie deinen Agenten erreicht.