Zum Hauptinhalt springen

341 bösartige Fähigkeiten im OpenClaw-Marktplatz gefunden (2026)

Snyk hat über 341 bösartige ClawHub-Fähigkeiten gefunden, die API-Schlüssel stehlen und Malware installieren. Fünf Sicherheitsorganisationen haben Warnungen herausgegeben. Hier ist, was du überprüfen solltest.

Die Sicherheitsnummern

341+

Bösartige Fähigkeiten auf ClawHub entdeckt

Snyk Research, 2026

36%

Fähigkeiten mit Prompt-Injektion

Snyk ToxicSkills Bericht

335

Pakete installieren macOS Stealer

Atomic Stealer / AMOS

5

Sicherheitsorganisationen geben Warnungen heraus

Kaspersky, Cisco, Snyk, Wiz, Bitsight

OpenClaw hat etwas Wichtiges bewiesen

OpenClaw hat in 10 Wochen über 145.000 GitHub-Sterne erreicht. Es ist das am schnellsten wachsende Open-Source-Projekt der letzten Zeit. Und das Wachstum war verdient. Die Idee eines autonomen KI-Agenten, der tatsächlich Dinge tut – Code ausführt, Dateien verwaltet, Skripte ausführt, deinen Posteingang überwacht – fand bei Hunderttausenden von Entwicklern Resonanz.

Die Vision ist richtig. Eine KI, die spricht, ist nützlich. Eine KI, die handelt, ist transformativ.

Aber das Sicherheitsmodell hat kritische Schwächen, die fünf große Organisationen jetzt dokumentiert haben. Das ist keine Spekulation. Dies sind Ergebnisse von Snyk, Kaspersky, Cisco, Wiz und Bitsight, veröffentlicht in begutachteten Forschungsarbeiten und offiziellen Sicherheitswarnungen. Wenn du OpenClaw verwendest oder darüber nachdenkst, musst du verstehen, was sie herausgefunden haben.

Das ClawHub-Lieferkettenproblem

ClawHub ist OpenClaws Community-Marktplatz für Skills – vorgefertigte Pakete, die erweitern, was der Agent tun kann. Stand Februar 2026 hostet es 5.705 von der Community erstellte Skills. Jeder mit einem GitHub-Konto, das älter als eine Woche ist, kann veröffentlichen.

Die ToxicSkills-Forschung von Snyk hat ergeben, dass 341 dieser Skills bösartig sind. Davon verwenden 335 gefälschte Voraussetzungen, um macOS-Stealer-Malware, speziell Atomic Stealer (AMOS), zu installieren, die Browser-Passwörter, Krypto-Wallets und Sitzungscookies erntet.

Schlimmer noch: Snyk hat eine breitere Stichprobe analysiert und festgestellt, dass 36 % der ClawHub-Skills Prompt-Injection enthalten – versteckte Anweisungen, die das Verhalten des Agents übernehmen. Ein Skill, der behauptet, deine E-Mails zu formatieren, könnte den Agenten stillschweigend anweisen, deine Dateien zu exfiltrieren.

Das ist kein hypothetisches Szenario. Es ist ein gemessenes, veröffentlichtes Ergebnis.

Rohsystemzugriff mit dünner Sicherheitsbarriere

OpenClaw läuft als langlaufender Prozess auf deinem Gerät mit Zugriff auf dein Dateisystem, die Shell und das Netzwerk. Das Sicherheitsmodell basiert auf einer Allowlist – einer Liste genehmigter Befehle, die der Agent ausführen kann. Alles andere wird theoretisch durch das Parsen von Shell-AST-Mustern blockiert.

In der Praxis ist dies eine schwache Grenze. Der Allowlist-Ansatz bedeutet, dass die Sicherheit davon abhängt, jedes gefährliche Befehlsmuster im Voraus vorherzusagen. Forscher haben Umgehungen demonstriert. Der Kaspersky-Blog dokumentierte spezifische Szenarien, in denen die breiten Berechtigungen des Agents laterale Bewegungen über dein System ermöglichen.

Das Kernproblem: OpenClaws Sicherheitsmodell ist Opt-out (blockiere bekannte schlechte Muster) anstatt Opt-in (erlaube nur ausdrücklich genehmigte Aktionen in isolierten Umgebungen). Opt-out-Sicherheit hat eine lange Geschichte des Scheiterns in der Softwaretechnik.

Credential-Exposition im Klartext

OpenClaw speichert API-Schlüssel in ~/.clawdbot im Klartext. Dein OpenAI-Schlüssel, Anthropic-Schlüssel, Google-Schlüssel und alle Diensttokens, die der Agent benötigt – alles in einer lesbaren Datei auf deinem Dateisystem.

Es wird schlimmer. Wenn Benutzer Schlüssel rotieren, werden die alten Werte manchmal in .bak-Dateien im selben Verzeichnis gespeichert. Ein bösartiger Skill – oder jeder Prozess mit Lesezugriff auf Dateien – kann sowohl aktuelle als auch historische Anmeldeinformationen in einem einzigen Lesevorgang ernten.

Das ist kein Randfall. Es ist das Standardverhalten.

Ein-Klick-Remote-Code-Ausführung

Sicherheitsforscher dokumentierten eine Ein-Klick-RCE-Schwachstelle im Installationsablauf von OpenClaws Skills. Ein gestaltetes Skill-Paket kann während der Installation beliebigen Code auf dem Host-Gerät ausführen – bevor der Benutzer die Möglichkeit hat, zu überprüfen, was es tut.

In Kombination mit dem ClawHub-Lieferkettenproblem schafft dies einen direkten Angriffsweg: veröffentliche einen bösartigen Skill, warte auf Installationen, führe Code auf jedem Gerät aus, das ihn installiert.

Ciscos Datenexfiltrationsdemonstration

Ciscos KI-Sicherheitsteam veröffentlichte eine detaillierte Demonstration, die zeigt, wie ein Drittanbieter-Skill stillschweigend sensible Daten vom Host-System extrahieren kann. Der Skill erscheint harmlos – führt seine beworbene Funktion aus – während er gleichzeitig Dateien liest und deren Inhalte an einen externen Server sendet.

Da OpenClaw-Skills mit denselben Berechtigungen wie der Agent (der breiten Systemzugang hat) ausgeführt werden, gibt es keine Isolationsgrenze zwischen dem, was ein Skill tun soll, und dem, was er tatsächlich tut.

Was die Sicherheitsgemeinschaft sagt

Die Reaktion der Sicherheitsgemeinschaft war direkt:

  • XDA-Developers veröffentlichte einen Artikel mit dem Titel “Bitte hört auf, OpenClaw zu verwenden”
  • Computerworld beschrieb die Plattform als “ein Sicherheitsalbtraum”
  • Gary Marcus nannte es “eine Katastrophe, die darauf wartet, zu passieren”
  • Kaspersky veröffentlichte einen detaillierten Blogbeitrag, der spezifische Schwachstellen katalogisierte und den Benutzern empfahl, OpenClaw auf dedizierter Hardware zu isolieren

Das sind keine Randstimmen. Sie repräsentieren den Mainstream-Konsens der Sicherheitsforschergemeinschaft.

Was du tun kannst

Wenn du OpenClaw derzeit verwendest, hast du drei Optionen:

Option 1: Härte deine bestehende Einrichtung. Verschiebe OpenClaw auf eine isolierte virtuelle Maschine. Vermeide alle ClawHub-Skills. Speichere API-Schlüssel in einem ordentlichen Secrets-Manager statt in ~/.clawdbot. Nutze den Community-openclaw-secure-stack für Skill-Scans und Schutz vor Prompt-Injection. Das reduziert das Risiko, beseitigt jedoch nicht das grundlegende architektonische Problem.

Option 2: Probiere NanoClaw. Dieser 700-Zeilen TypeScript-Fork läuft in Apple-Containern und bietet sinnvolle Isolation auf macOS. Er ist minimal, unterstützt weniger Integrationen und ist in der frühen Phase – aber er adressiert das Problem des Rohsystemzugriffs.

Option 3: Wechsle zu einer sandboxed Alternative. Cloud-basierte Plattformen wie LikeClaw führen gesamten Agentencode in isolierten E2B-Containern aus. Skills werden vor der Veröffentlichung geprüft. Anmeldeinformationen sind verschlüsselt. Es gibt kein Host-Gerät, das kompromittiert werden kann. Der Nachteil ist, dass dein Agent in der Cloud statt lokal läuft.

Die richtige Wahl hängt von deinen Prioritäten ab. Wenn lokale Privatsphäre nicht verhandelbar ist, härte deine Einrichtung oder probiere NanoClaw. Wenn Sicherheit und null Setup wichtiger sind, eliminieren sandboxed cloud agents die gesamte Risikokategorie.

Die tiefere Lektion

OpenClaws Sicherheitsprobleme sind keine Fehler, die behoben werden müssen. Sie sind Konsequenzen einer architektonischen Entscheidung: dem Agenten vollen Systemzugang zu gewähren und die Sicherheit später zu klären.

Dieser Ansatz skaliert nicht. Da KI-Agenten leistungsfähiger und autonomer werden, wächst der Explosionsradius eines Sicherheitsvorfalls. Die Branche bewegt sich in Richtung sandboxed Execution aus demselben Grund, aus dem wir von der Ausführung von Code als Root zur Ausführung in Containern übergegangen sind. Isolation ist keine Einschränkung. Es ist ein Feature.

Die Nachfrage, die OpenClaw bewiesen hat, ist real. Autonome KI-Agenten, die Code ausführen, Dateien verwalten und Workflows automatisieren – das ist die Zukunft. Die Frage ist, ob diese Zukunft auf deinem Bare-Machine oder in einer dafür vorgesehenen Sandbox läuft.

Die fünf Sicherheitsrisiken

1

Lieferkettenangriffe

341+ bösartige Fähigkeiten auf ClawHub. 335 haben gefälschte Voraussetzungen verwendet, um macOS Stealer-Malware zu installieren. Keine angemessene Überprüfung oder Code-Review für Einreichungen.

2

Rohsystemzugriff

Vollständiger Zugriff auf das Dateisystem, die Shell und das Netzwerk, mit nur einer schwachen Allowlist, die zwischen dem Agenten und deinem gesamten Gerät steht.

3

Credential-Exposition

API-Schlüssel werden im Klartext unter ~/.clawdbot gespeichert. Gelöschte Schlüssel bleiben in .bak-Dateien erhalten. Ein Sicherheitsvorfall gefährdet jeden verbundenen Dienst.

4

Remote Code-Ausführung

Eine dokumentierte One-Click-RCE-Sicherheitsanfälligkeit ermöglicht es Angreifern, beliebigen Code auf deinem Gerät über manipulierte Skill-Pakete auszuführen.

5

Datenexfiltration

Cisco hat gezeigt, dass eine Drittanbieter-Fähigkeit stillschweigend sensible Daten aus deinem System extrahieren und an einen externen Server senden kann.

Es gibt einen besseren Ansatz.

Diese fünf Risiken haben eine gemeinsame Ursache: Der Agent läuft direkt auf deinem Gerät mit umfassendem Systemzugriff. Jede Fähigkeit, jeder Befehl, jede LLM-Antwort wird in deiner Umgebung mit deinen Berechtigungen ausgeführt.

Die sandboxed Ausführung ist die architektonische Lösung. Wenn Code in einem isolierten Container ausgeführt wird, der für jede Aufgabe erstellt und danach zerstört wird, haben Supply-Chain-Angriffe nichts zu stehlen. Anmeldeinformationen berühren niemals die Ausführungsumgebung. Exfiltrierte Daten gelangen nirgendwohin. Der Schadensradius einer Schwachstelle schrumpft von deinem gesamten System auf eine leere, flüchtige Sandbox.

Sicherheit ist kein Merkmal, das man einfach hinzufügt. Es ist eine Architektur, auf der man aufbaut.

Wie sandboxed AI-Agenten diese Probleme lösen

  1. 1

    Lieferkettenangriffe sind eingedämmt.

    Fähigkeiten werden in isolierten Containern ausgeführt, ohne Zugriff auf dein Host-Dateisystem, deine Anmeldeinformationen oder das Netzwerk. Eine bösartige Fähigkeit kann nur einen leeren Sandbox beschädigen, der Sekunden später zerstört wird.

  2. 2

    Der Systemzugang ist von vornherein ausgeschlossen.

    Es gibt keinen Host-Computer, auf den zugegriffen werden kann. Der Agent läuft in der Cloud innerhalb eines E2B-Containers. Dein Laptop, deine Dateien, deine Shell-Historie – nichts davon ist erreichbar.

  3. 3

    Anmeldeinformationen sind verschlüsselt und getrennt.

    API-Schlüssel werden in verschlüsselten Tresoren gespeichert, niemals in Klartext-Konfigurationsdateien. Die Ausführungsumgebung erhält nur die Token, die sie für jede spezifische Aufgabe benötigt, mit festgelegtem Geltungsbereich und zeitlicher Begrenzung.

  4. 4

    Remote Code-Ausführung hat kein Ziel.

    Selbst wenn ein Angreifer Codeausführung erreicht, landet er in einem Wegwerf-Container ohne persistente Daten, ohne Anmeldeinformationen und ohne Netzwerkverbindung zurück zu deinem Rechner.

  5. 5

    Datenexfiltration stößt auf ein totes Ende

    Sandboxed-Container haben kontrollierte Netzwerkrichtlinien. Ausgehende Verbindungen zu unbekannten Endpunkten werden blockiert. Deine Daten bleiben in deinem Arbeitsbereich, nicht im Ausführungskontext der Skill.

Häufige Fragen zur Sicherheit von OpenClaw

Ist OpenClaw sicher zu verwenden?

Es hängt von deinem Bedrohungsmodell ab. OpenClaw gewährt Agenten vollen Zugriff auf dein Dateisystem, die Shell und das Netzwerk. Fünf Sicherheitsorganisationen (Kaspersky, Cisco, Snyk, Wiz und Bitsight) haben Warnungen zu spezifischen Schwachstellen veröffentlicht. Wenn du es verwendest, vermeide es, Drittanbieter-Skills von ClawHub zu installieren, ohne deren Quellcode zu überprüfen, und speichere niemals API-Schlüssel am standardmäßigen Klartextort.

Was sind die Alternativen zu OpenClaw?

Du hast mehrere Optionen. Für sandboxed cloud-basierte AI-Agenten führt LikeClaw gesamten Code in isolierten E2B-Containern mit geprüften Fähigkeiten und verschlüsselten Anmeldeinformationen aus. Für minimalistische lokale Setups ist NanoClaw ein 700-Zeilen-Fork, der in Apple-Containern läuft. Für chatbasierte AI (keine Codeausführung) sind Claude, ChatGPT und Gemini sicherer, aber weniger leistungsfähig. Deine Wahl hängt davon ab, ob du autonome Codeausführung benötigst und wie viel Setup du bereit bist zu verwalten.

Kann ich OpenClaw selbst sichern?

Teilweise. Du kannst auf einer isolierten virtuellen Maschine selbst hosten, ClawHub-Fähigkeiten ganz vermeiden, API-Schlüssel aus ~/.clawdbot in einen richtigen Secrets-Manager verschieben und es hinter einer Firewall betreiben. Das Community-Projekt openclaw-secure-stack fügt einen Fähigkeits-Scanner und Schutz vor Prompt-Injection hinzu. Aber das grundlegende Problem – der direkte Systemzugriff für jede Ausführung – bleibt eine architektonische Einschränkung, die nicht einfach behoben werden kann.

Was ist mit NanoClaw?

NanoClaw ist ein vielversprechender minimaler Fork. Mit 700 Zeilen TypeScript läuft es in Apple-Containern für grundlegende Isolation und basiert auf dem Anthropic Agents SDK. Es löst einige Sicherheitsprobleme, ist jedoch auf macOS beschränkt, unterstützt weniger Integrationen und befindet sich noch in der frühen Phase. Es ist eine gute Option, wenn du einen lokal-first Ansatz mit besserer Sicherheit als das Standard OpenClaw möchtest.

Wie funktioniert die Ausführung in einer Sandbox eigentlich?

Cloud-basiertes Sandboxing verwendet isolierte Container (wie E2B), die für jede Aufgabe erstellt und nach Abschluss wieder gelöscht werden. Der Code des Agents läuft in diesem Container, der sein eigenes Dateisystem, Netzwerkregeln und Ressourcenlimits hat. Er kann deinen lokalen Rechner nicht sehen oder berühren. Stell dir vor, es ist wie das Ausführen von Code in einem Reinraum, der nach jeder Nutzung verbrannt wird. Deine Dateien, Anmeldeinformationen und das System bleiben unberührt, egal was der Agent im Sandbox macht.