Aufbau eines Skills-Marktplatzes, der keine Malware versendet
341 bösartige Fähigkeiten wurden auf dem OpenClaw-Marktplatz gefunden. So haben wir unsere entwickelt, um das unmöglich zu machen.
Ein Marktplatz, der auf Vertrauen basiert
0
Bösartige Fähigkeiten gefunden
100%
Fähigkeiten vor der Veröffentlichung überprüft
0%
Fähigkeiten mit Prompt-Injektion
341 Gründe, es anders zu machen
Im Februar 2026 veröffentlichte Snyk eine Forschung, die die AI-Agenten-Community erschütterte: 341 bösartige Skills wurden im ClawHub-Marktplatz von OpenClaw gefunden. 36 % aller Skills wiesen Schwachstellen durch Prompt-Injection auf. 335 der bösartigen Skills installierten macOS-Stealer-Malware — speziell Atomic Stealer (AMOS).
Lass das mal sacken. Nutzer luden Skills herunter, von denen sie dachten, sie würden ihren AI-Agenten verbessern. Stattdessen installierten diese Skills Malware, die ihre Anmeldedaten stahl.
Das war kein theoretisches Risiko. Es waren 341 bestätigte Fälle von bösartiger Software, die über einen Marktplatz verteilt wurden, dem Millionen von Entwicklern vertrauen.
Als wir den Skill-Marktplatz von LikeClaw aufbauten, hatten wir diese 341 Fälle an unseren Monitoren befestigt.
Warum der Marktplatz von OpenClaw von Grund auf fehlerhaft ist
Das Problem mit dem Marktplatz von OpenClaw ist nicht, dass sie nicht nach Malware suchen (obwohl sie das nicht tun). Das Problem ist architektonischer Natur.
OpenClaw-Skills laufen auf dem lokalen Rechner des Nutzers mit den Berechtigungen des Nutzers. Ein Skill, der behauptet, “JSON zu formatieren”, hat den gleichen Zugriff wie jedes andere Programm auf deinem Computer: Er kann Dateien lesen, Netzwerk-Anfragen stellen, auf Anmeldedaten zugreifen und Software installieren.
Es gibt keinen Sandbox. Keine Isolation. Keine Eindämmung. Wenn du einen OpenClaw-Skill installierst, gibst du ihm die Schlüssel zu deinem gesamten System.
Selbst mit perfekten Überprüfungsprozessen ist diese Architektur grundsätzlich unsicher. Ein Skill, der bei der Veröffentlichung sicher war, kann mit bösartigem Code aktualisiert werden. Ein Skill, der legitime Arbeit verrichtet, kann auch im Hintergrund Daten exfiltrieren. Die Abhängigkeiten eines Skills können durch Angriffe auf die Lieferkette kompromittiert werden.
Der einzige Weg, einen Skill-Marktplatz sicher zu machen, besteht darin, sicherzustellen, dass Skills keinen Schaden anrichten können, selbst wenn sie es versuchen.
Wie wir unseren aufgebaut haben
Unser Skill-Marktplatz wurde im Februar 2026 gestartet. Er wurde auf drei Prinzipien aufgebaut:
Prinzip 1: Überprüfung vor der Veröffentlichung. Jeder Skill durchläuft einen Genehmigungsworkflow, bevor er für Nutzer verfügbar ist. Das ist nicht nur ein Häkchen — die Überprüfung sucht nach bösartigen Code-Mustern, Prompt-Injection-Techniken und der Kompatibilität mit sandboxed Ausführung.
Wir haben ein komplettes Genehmigungssystem aufgebaut: Skills werden eingereicht, überprüft und entweder genehmigt oder mit Feedback abgelehnt. Kategorien organisieren Skills nach Zweck. Pagination kümmert sich um die Skalierung. Der Überprüfungsprozess ist darauf ausgelegt, gründlich und nicht schnell zu sein.
Prinzip 2: Alles in Sandboxes. Skills laufen in E2B-Sandboxes. Immer. Ein Skill, der versucht, auf das Dateisystem des Nutzers zuzugreifen, stößt an die Sandbox-Grenze. Ein Skill, der versucht, Software zu installieren, installiert sie in einem Container, der zerstört wird. Ein Skill, der versucht, Daten zu exfiltrieren, kann nur das senden, was sich in der Sandbox befindet.
Das ist der grundlegende architektonische Unterschied. OpenClaw-Skills laufen auf deinem Rechner. LikeClaw-Skills laufen in einem Container. Der Explosionsradius eines bösartigen Skills auf OpenClaw ist dein gesamtes System. Der Explosionsradius auf LikeClaw ist ein temporärer Container, der kurz davor steht, zerstört zu werden.
Prinzip 3: Inkompatibilitäten erkennen. Viele OpenClaw-Skills gehen davon aus, dass sie direkten Systemzugriff haben. Sie lesen von ~/.ssh/, sie greifen auf Systemdatenbanken zu, sie rufen lokale APIs auf. Diese Skills sind von Natur aus inkompatibel mit sandboxed Ausführung.
Wenn Nutzer Skills von ClawHub importieren, erkennen wir automatisch diese Inkompatibilitäten. Skills, die direkten Systemzugriff erfordern, werden markiert. Nutzer sehen genau, was nicht funktioniert und warum. Keine stillen Fehler. Kein “Dieser Skill funktioniert nicht und wir wissen nicht warum.”
Die ClawHub-Importbrücke
Wir haben das OpenClaw-Ökosystem nicht ignoriert. Viele ClawHub-Skills sind legitime, gut gebaute Tools, die von talentierten Entwicklern erstellt wurden. Wir haben eine Importbrücke gebaut, die es Nutzern ermöglicht, diese Skills zu LikeClaw zu bringen.
Der Importprozess:
- Wähle einen ClawHub-Skill zum Importieren aus
- Wir analysieren ihn auf E2B-Kompatibilität
- Inkompatible Funktionen werden markiert
- Kompatible Skills werden importiert und zur Überprüfung in die Warteschlange gestellt
- Nach der Überprüfung ist der Skill in deinem Workspace verfügbar
Das gibt Nutzern Zugang zu den besten Teilen des OpenClaw-Ökosystems, ohne die schlimmsten Aspekte seines Sicherheitsmodells.
Was ein geprüfter Marktplatz für Nutzer bedeutet
Wenn du einen Skill aus dem Marktplatz von LikeClaw installierst, weißt du:
- Ein Mensch hat ihn überprüft, bevor er veröffentlicht wurde
- Er läuft in einer isolierten Sandbox, nicht auf deinem Rechner
- Er kann nicht auf etwas außerhalb seines Containers zugreifen
- Er wurde auf Prompt-Injection-Muster überprüft
- Wenn er von ClawHub importiert wurde, wurden Inkompatibilitäten markiert
Vergleiche das mit der Installation eines Skills aus dem Marktplatz von OpenClaw, wo Snyk herausfand, dass mehr als jeder dritte Skills Prompt-Injection enthält und 335 bekannte Skills Malware installiert haben, die Anmeldedaten stiehlt.
Es geht nicht darum, bessere Ingenieure als das OpenClaw-Team zu sein. Es geht darum, eine andere Architektur zu wählen. Eine Architektur, in der Sicherheit kein später hinzuzufügendes Feature ist — sie ist das Fundament, auf dem alles andere aufgebaut ist.
0 ist die einzige akzeptable Zahl
341 bösartige Skills. Das ist die Zahl von OpenClaw. Unsere ist 0.
Nicht, weil wir wachsamer sind. Nicht, weil unser Überprüfungsprozess perfekt ist. Sondern weil unsere Architektur bösartige Skills harmlos macht. Ein Skill, der versucht, Anmeldedaten in einer Sandbox zu stehlen, stiehlt nichts. Ein Skill, der versucht, Malware zu installieren, installiert sie in einem Container, der in Sekunden zerstört wird.
Architektur schlägt Wachsamkeit. Jedes Mal.
Wir haben einen Skill-Marktplatz aufgebaut, der keine Malware ausliefert. Nicht, weil wir vorsichtig sind. Sondern weil wir es architektonisch unmöglich gemacht haben.
Zwei Ansätze für Skill-Marktplätze
| LikeClaw Fähigkeiten | OpenClaw Marketplace | |
|---|---|---|
| Sicherheitsüberprüfung | Vor der Veröffentlichung erforderlich | Keine — offene Einreichung |
| Ausführungsumgebung | Sandboxed-Container | Benutzerlokale Maschine |
| Bösartige Fähigkeiten gefunden | 0 | 341+ (Snyk, 2026) |
| Eingabeverhältnis für Prompts | 0% | 36% (Snyk) |
| Import von ClawHub | Mit Kompatibilitätsprüfung | Native |
Snyk Research, Februar 2026
Fragen zu unserem Skills-Marktplatz
Kann jeder eine Skill veröffentlichen?
Jeder kann eine Skill einreichen, aber sie durchläuft einen Überprüfungsprozess, bevor sie für die Nutzer verfügbar ist. Wir prüfen auf bösartigen Code, Prompt-Injection und die Kompatibilität mit unserer sandboxed Ausführungsumgebung.
Kann ich Skills von ClawHub/OpenClaw importieren?
Ja, mit einer Kompatibilitätsprüfung. Einige OpenClaw-Fähigkeiten erfordern den direkten Zugriff auf das System, der in unserer sandboxed Umgebung nicht verfügbar ist. Wir erkennen diese Inkompatibilitäten während des Imports und kennzeichnen sie deutlich.
Was passiert, wenn eine Skill versucht, etwas Bösartiges zu tun?
Zwei Schutzschichten: Der Überprüfungsprozess erkennt es vor der Veröffentlichung, und der Sandbox fängt es zur Laufzeit ab. Selbst wenn ein bösartiger Skill es irgendwie durch die Überprüfung schafft, läuft er in einem isolierten E2B-Container ohne Zugriff auf dein tatsächliches System.