Wir haben 5.327 ClawHub-Fähigkeiten gescannt. 65 davon waren gefährlich.

Warum wir jede Fähigkeit auf ClawHub gescannt haben

Wir bauen einen Fähigkeiten-Marktplatz für LikeClaw. Um ihn zu füllen, importieren wir Fähigkeiten von ClawHub — OpenClaws Community-Register mit über 7.000 Fähigkeiten. Aber wir weigern uns, blind zu importieren. Snyk hat bereits 341 bestätigte bösartige Fähigkeiten in diesem Register gefunden. Wir mussten genau wissen, womit wir es zu tun hatten.

Also haben wir eine Pipeline entwickelt, die jede einzelne Fähigkeit auf ClawHub herunterlädt, analysiert und auswertet. Kein Sample. Nicht die Top 100. Alle.

Das Ergebnis: Von 5.327 Fähigkeiten, die unseren ersten Kompatibilitätsfilter bestanden haben, wurden 65 als gefährlich eingestuft. Das sind 1,2% des Marktplatzes. Eine von 83 Fähigkeiten möchte etwas tun, was sie nicht sollte.

Hier ist, was wir gefunden haben, wie wir es gefunden haben und was wir dagegen tun.

Wie die Scanning-Pipeline funktioniert

Unsere Erkennung läuft in drei Phasen.

Phase 1: Den gesamten Marktplatz herunterladen. Ein Python-Skript paginiert durch die ClawHub API und lädt den Quellcode, die Metadaten und die Dateiinhalte jeder Fähigkeit in den lokalen Speicher herunter. Mit einer Rate von 1,8 Anfragen pro Sekunde und exponentiellem Backoff. Der letzte Durchlauf hat 7.001 Fähigkeitsverzeichnisse abgerufen.

Phase 2: Plattformkompatibilitätsfilter. Vor der Sicherheitsanalyse filtern wir nach E2B-Sandbox-Kompatibilität. Fähigkeiten, die macOS-exklusive Binärdateien (osascript, pbcopy, Homebrew), Docker-Container oder direkten Systemzugriff benötigen, werden als inkompatibel gekennzeichnet und ausgeblendet. Dieser Filter überprüft deklarierte Abhängigkeiten, scannt den Quellcode nach plattformspezifischen Mustern und validiert gegen eine Blockliste von 39 bekannten inkompatiblen Binärdateien. Diese Phase entfernte 114 Fähigkeiten — sodass 5.327 für die Sicherheitsanalyse übrigblieben.

Phase 3: KI-gestützte Quellcodeanalyse. Der vollständige Quellcode jeder verbleibenden Fähigkeit wird zusammengefügt und zur Sicherheitsbewertung an ein LLM gesendet. Das Modell bewertet jede Fähigkeit anhand von fünf Kriterien:

• Exfiltriert sie Daten zu unbekannten Endpunkten?
• Führt sie destruktive Befehle aus?
• Versucht sie, Eingaben zu injizieren oder Jailbreaking durchzuführen?
• Greift sie ohne klaren Zweck auf sensible Systemressourcen zu?
• Enthält sie obfuskierten oder verdächtigen Code?

Das Modell gibt ein strukturiertes Urteil zurück: sicher oder unsicher, eine Kategorie, eine Beschreibung dessen, was der Code tatsächlich tut (nicht das, was das Marketing behauptet), und Sicherheitsnotizen zu etwaigen Bedenken.

Der vollständige Durchlauf analysierte 5.213 Fähigkeiten über etwa 13,5 Stunden. Null Fehler. 65 Fähigkeiten wurden als unsicher eingestuft. Jede dieser 65 wurde anschließend in unserer Datenbank als hidden markiert und von unserem Marktplatz ausgeschlossen.

Die sieben Bedrohungsmuster, die wir gefunden haben

Die 65 gefährlichen Fähigkeiten gruppieren sich in unterschiedliche Angriffs-Muster. Einige sind dreist. Einige sind subtil. Einige scheinen koordiniert.

Muster 1: Klare Malware

Sieben Fähigkeiten überschritten die Grenze von “fragwürdig” zu “offensichtlich bösartig.” Der schlimmste Übeltäter — eine Fähigkeit namens redpacket-claim — lädt eine beliebige Binärdatei von einer fest codierten IP-Adresse (120.48.191.124) herunter und führt sie aus, ohne Überprüfung, ohne Signaturprüfung, ohne Benutzeraufforderung. Du installierst sie, und sie führt aus, was der Server sendet.

Eine andere, self-evolve, autorisiert ihren Agenten, Bash-Befehle auszuführen, Systemkonfigurationen zu ändern und Dateien ohne Bestätigungsschritt zu ändern. Eine dritte, bun-runtime, verwendet eval, um beliebige Shell-Befehle auszuführen, die als Strings übergeben werden — das älteste und gefährlichste Muster in der Software-Sicherheit.

Diese sind nicht mehrdeutig. Das ist Remote-Code-Ausführung, die über einen Fähigkeiten-Marktplatz bereitgestellt wird.

Muster 2: Der PDF-Exfiltrationsring

Das hat uns überrascht. Sieben scheinbar nicht verwandte Fähigkeiten — add-watermark-to-pdf, compress-pdf, merge-pdf, change-pdf-permissions, make-pdf-safe, password-protect-pdf und remove-password-from-pdf — leiten alle vom Benutzer hochgeladene PDFs an dieselbe Domain weiter: api.xss-cross-service-solutions.com.

Sieben Fähigkeiten. Eine Domain. Eine Domain mit “xss” im Namen.

Benutzer, die eine dieser Fähigkeiten installieren und ihnen ein PDF übergeben, senden ihre Dokumente — Verträge, Finanzberichte, persönliche Aufzeichnungen — an einen einzigen externen Server. Die Fähigkeiten wirken unabhängig. Sie haben unterschiedliche Namen, unterschiedliche Beschreibungen, unterschiedliche scheinbare Autoren. Aber sie telefonieren alle nach Hause zur gleichen Stelle.

Das sieht nach einer koordinierten Kampagne aus, um PDF-Inhalte im großen Stil zu ernten.

Muster 3: Credential Harvesting

Zehn Fähigkeiten geben entweder Anmeldedaten direkt preis oder übertragen sie an Dritte.

Zwei Fähigkeiten, die als Twitter Command Center gekennzeichnet sind (eine für Suche + Überwachung, eine andere für Suche + Posten), senden die Twitter-E-Mail und das Passwort der Benutzer an api.aisa.one — eine Drittanbieter-Automatisierungs-API. Die Fähigkeit fragt nach deinen Twitter-Anmeldedaten, um “dir zu helfen, dein Konto zu verwalten.” Dann sendet sie sie an den Server eines anderen.

coconala-seller leitet Anmeldedaten an einen externen Browser-Automatisierungsdienst weiter. paytrigo-openclawbot wird mit fest codierten Live-API-Schlüsseln im Quellcode geliefert — jeder, der den Quellcode liest, kann auf diese Konten zugreifen. voice-agent bindet das Verzeichnis der AWS-Anmeldedaten des Benutzers (~/.aws) in einen Docker-Container ein, den es kontrolliert.

uniclaw ist besonders besorgniserregend: Es greift auf die Wallet-Mnemonik und den privaten Schlüssel des Benutzers zu, während es einen fest codierten API-Schlüssel in seinem eigenen Quellcode enthält. Das ist eine Kombination, die speziell dafür entwickelt wurde, Kryptowährungs-Wallets zu leeren.

Muster 4: Stille Datenexfiltration

Die größte Kategorie. Über 17 Fähigkeiten senden Benutzerdaten an externe Server, mit denen die Benutzer nie zugestimmt haben, sie zu teilen.

conversation-summary sendet deinen gesamten Gesprächsverlauf an iautomark.sdm.qq.com. voidborne exfiltriert deine Maschinen-ID, Hostnamen, Benutzernamen und generierte Inhalte an voidborne.org. clawcredit sendet die gesamte Argumentationsspur deines Agenten — Eingabeaufforderungen, Logik und Antworten — an ein externes Backend. telegram-body-scan leitet sensible Videodaten (Körperscans) an einen externen Dienst weiter.

clawswarm sendet Registrierungsdaten, Argumentationsspuren und Lösungen an claw-swarm.com. clawdrug sendet Eingaben und Ausgaben an eine externe API, während es auch entfernte Eingabeaufforderungsvorlagen herunterlädt, die das Verhalten des Agenten ändern können. trade-with-taro exfiltriert Wissensinhalte an kairyuu.net.

In jedem Fall sagt die Beschreibung der Fähigkeit nichts über dieses Datenteilen aus. Benutzer wissen nicht, dass ihre Gespräche, Dateien und Agentenausgaben an Server Dritter weitergeleitet werden.

Muster 5: Exposition von Krypto-Wallets

Acht Fähigkeiten benötigen den privaten Schlüssel deiner Kryptowährungs-Wallet, um zu funktionieren. lobsterhood automatisiert USDC-Überweisungen ohne Bestätigung — eine einzige falsch konfigurierte Regel könnte eine Wallet leeren. mia-polymarket-trader benötigt private Schlüssel für automatisierten Handel. bonero-miner führt CPU-intensive Mining-Operationen aus und ermutigt Benutzer, nicht verifizierte Installationsskripte über das klassische curl | bash-Muster auszuführen.

Diese Fähigkeiten befinden sich an der Schnittstelle von finanziellen Risiken und Risiken in der Lieferkette. Du gibst ihnen deinen privaten Schlüssel, und sie führen Code aus, den du nicht geschrieben hast und nicht verifizieren kannst.

Muster 6: Angriffe auf die Lieferkette

Sechs Fähigkeiten laden unbestätigten Code von externen URLs herunter und führen ihn aus. MoltiumV2 ruft Code von moltium.fun ab und führt ihn aus. desktop-sandbox lädt Installations-Binärdateien von GitHub herunter und führt sie mit Systemrechten aus. xiaohongshu benötigt Sudo-Zugriff, um Systempakete aus nicht verifizierten Quellen zu installieren.

Das Muster ist immer dasselbe: Die Fähigkeit behauptet, eine Abhängigkeit zu benötigen, lädt sie von einer URL herunter, die der Benutzer nicht verifizieren kann, und führt sie aus. Dies ist der genaue Angriffsvektor, den Snyk in den 335 macOS-Stealer-Fällen dokumentiert hat — aber mit unterschiedlichen Payloads.

Muster 7: XSS und Eingabeaufforderungsinjektion

Drei Fähigkeiten sind explizite Proof-of-Concept-Angriffe gegen die ClawHub-Plattform selbst. localstorage-poc verwendet in SVG eingebettetes JavaScript, um Authentifizierungstoken aus localStorage abzurufen, und pingt dann einen externen Endpunkt mit der Token-Anzahl. red-pill lädt ein externes iFrame von clawdhub.com über einen SVG-XSS-Vektor.

Diese Fähigkeiten zeigen, dass die eigene Plattform von ClawHub anfällig für Cross-Site-Scripting durch ihre Fähigkeiten-Rendering-Pipeline ist. Sie existieren auf dem Marktplatz als funktionierende Exploits.

Was wir mit den Ergebnissen tun

Jede als unsicher eingestufte Fähigkeit wird automatisch in unserer Datenbank verborgen. Sie erscheint niemals in Fähigkeitslisten, Suchergebnissen oder dem Fähigkeitsauswahlwerkzeug. Benutzer können sie nicht installieren.

Aber automatisiertes Scannen ist nur das erste Tor. Unsere vollständige Pipeline hat drei Schichten:

1. Automatisierte Analyse erfasst die 65 in diesem Beitrag beschriebenen Fähigkeiten — die offensichtlich gefährlichen.
2. Menschliche Überprüfung bewertet jede Fähigkeit, bevor sie auf unserem Marktplatz erscheint. Einige Verhaltensweisen, die verdächtig erscheinen, haben legitime Erklärungen. Einige Verhaltensweisen, die sicher erscheinen, sind tatsächlich gefährlich. Die endgültige Entscheidung liegt beim Menschen.
3. Sandboxed Execution bedeutet, dass selbst wenn eine Fähigkeit irgendwie beide Filter bestanden hat, sie innerhalb eines E2B-Containers ausgeführt wird — einer isolierten Umgebung, die pro Aufgabe erstellt und danach zerstört wird. Eine bösartige Fähigkeit in einer Sandbox ist eine bösartige Fähigkeit, die nirgendwohin kann.

Was dies nicht erfasst

Wir möchten transparent über die Grenzen sein.

Unsere Scanning-Pipeline ist stark, aber nicht unfehlbar. Sie wird Fähigkeiten übersehen, die:

• Ihr Verhalten obfuskieren. Base64-kodierte Payloads, Steganographie oder mehrstufige Angriffe, bei denen jede Stufe einzeln harmlos aussieht.
• Zeitverzögerte Ausführung verwenden. Eine Fähigkeit, die wochenlang normal funktioniert und dann bösartigen Code bei einem Trigger aktiviert.
• Nach der Veröffentlichung aktualisiert wird. Eine Fähigkeit, die die Überprüfung besteht und dann ein bösartiges Update pusht. (Unsere Pipeline scannt regelmäßig, aber es gibt immer ein Zeitfenster.)
• Zero-Day-Schwachstellen ausnutzt. Angriffe, die unbekannte Schwächen in der Sandbox oder der Laufzeitumgebung anvisieren.

Kein automatisiertes System erfasst alles. Wir garantieren nicht, dass unser Marktplatz frei von allen Risiken ist. Was wir garantieren, ist, dass wir aktiv suchen, das herausfiltern, was wir finden, und die Sandbox den Explosionsradius von allem, was durchkommt, begrenzt.

Das ist grundlegend anders als ein Marktplatz, der überhaupt nicht hinschaut.

Die Zahlen im Kontext

65 gefährliche Fähigkeiten aus 5.327 sind eine Rate von 1,2%. Das klingt klein, bis man über die Mathematik eines wachsenden Marktplatzes nachdenkt.

Bei 5.327 Fähigkeiten bedeutet 1,2% 65 Landminen. Bei 10.000 Fähigkeiten bedeutet es 120. Bei 50.000 Fähigkeiten bedeutet es 600. Offene Register erweitern ihre Angriffsfläche im gleichen Maße, in dem sie ihren Wert steigern. Jede neue Fähigkeit ist entweder nützlich oder gefährlich, und ohne systematisches Scannen haben Benutzer keine Möglichkeit, den Unterschied zu erkennen.

Snyks unabhängige Forschung fand 341 bestätigte bösartige Fähigkeiten auf ClawHub — eine höhere absolute Zahl, weil ihre Analyse unterschiedliche Zeiträume und Erkennungskriterien abdeckte. Unsere 65 ist kein Widerspruch zu ihren Ergebnissen. Es ist ein separater Scan mit einer anderen Methodik, der dieselbe Schlussfolgerung bestätigt: Der ClawHub-Marktplatz hat ein systemisches Sicherheitsproblem.

Die Fähigkeiten, die wir markiert haben, sind weiterhin aktiv auf ClawHub. Immer noch installierbar. Benutzer, die OpenClaw verwenden, können sie auch heute noch installieren.

Auf LikeClaw sind sie gefiltert, überprüft und sandboxed. Das ist der Unterschied zwischen einem offenen Register und einem geprüften Marktplatz.