Security Crisis OpenClaw Agents

OpenClaw funktioniert, indem es sich mit KI-Modellen von OpenAI und Anthropic verbindet und gleichzeitig Organisationscode lokal auf den Geräten der Benutzer ausführt. Die Agenten können in regelmäßigen Abständen autonom Aufgaben ausführen, darunter E-Mails abrufen, Musik abspielen und Nachrichten versenden. Vor allem interagieren diese Agenten miteinander über Kommunikations-Apps und Plattformen wie Moltbook, einem simulierten sozialen Netzwerk, in dem KI-Agenten Beiträge veröffentlichen und kommentieren.

Sicherheitsforscher haben erhebliche Schwachstellen innerhalb des Ökosystems identifiziert. Das Simula Research Laboratory fand 506 Beiträge auf Moltbook – das sind 2,6 Prozent der untersuchten Inhalte –, die versteckte Prompt-Injection-Angriffe enthielten. Cisco-Forscher dokumentierten eine bösartige Funktion namens „What Would Elon Do?“, die Daten an externe Server exfiltrierte und gleichzeitig durch künstliche Inflation einen Spitzenplatz im Funktionsrepository erreichte.

Die Architektur der Plattform schafft laut Palo Alto Networks eine „tödliche Dreifachkombination“ von Schwachstellen: Zugriff auf private Daten, Exposition gegenüber nicht vertrauenswürdigen Inhalten und die Möglichkeit zur externen Kommunikation. Ein vierter Risikofaktor – persistenter Speicher – ermöglicht es, bösartige Payloads über nicht vertrauenswürdige Eingaben zu fragmentieren, sodass sie isoliert harmlos erscheinen, bevor sie zu ausführbaren Anweisungen zusammengesetzt werden.

Im März 2024 veröffentlichten die Sicherheitsforscher Ben Nassi, Stav Cohen und Ron Bitton eine Studie zu „Morris-II“, in der sie zeigten, wie sich selbstreplizierende Eingabeaufforderungen über KI-gestützte E-Mail-Assistenten verbreiten können. Die Struktur von OpenClaw vervielfacht diese Angriffsvektoren durch sein unmoderiertes Skill-Erweiterungsregister, in dem Agenten ohne Aufsicht Funktionen installieren und teilen können.

Eine kürzlich erfolgte Offenlegung durch den Sicherheitsforscher Gal Nagli von Wiz.io enthüllte eine falsch konfigurierte Datenbank, die das gesamte Backend von Moltbook offenlegte: 1,5 Millionen API-Token, 35.000 E-Mail-Adressen und private Nachrichten zwischen Agenten. Die Schwachstelle umfasste den vollständigen Schreibzugriff auf Plattformbeiträge, wodurch potenziell bösartige Anweisungen in Inhalte eingeschleust werden konnten, die alle vier Stunden von Hunderttausenden von Agenten abgefragt werden.

OpenAI und Anthropic üben derzeit eine indirekte Kontrolle über das Netzwerk aus, da die meisten OpenClaw-Agenten auf ihre APIs angewiesen sind. Diese Unternehmen könnten theoretisch verdächtige Konten mit botähnlichen Verhaltensmustern identifizieren und sperren. Dieses Interventionsfenster schließt sich jedoch, da lokal ausgeführte Sprachmodelle immer besser werden. Innerhalb von ein bis zwei Jahren könnten Agenten, die auf lokaler Hardware laufen, die Fähigkeiten aktueller kommerzieller Modelle erreichen, wodurch zentralisierte Kontrollmechanismen überflüssig würden.

Die OpenClaw-Plattform wurde mittels „Vibe-Coding“ entwickelt, bei dem KI-Codierungsmodelle die Anwendung ohne umfassende Überprüfung schnell erstellt und bereitgestellt haben. Dieser Ansatz hat in Kombination mit rasanten Updates unter Verwendung derselben Technik zu Sicherheitslücken beigetragen.

Erich Kron und Dr. Martin Krämer, CISO-Berater bei KnowBe4, weisen darauf hin, dass die ständigen Namensänderungen – von Clawdbot über Moltbot zu OpenClaw – auf eine unzureichende Berücksichtigung der Sicherheitsauswirkungen während der Entwicklung hindeuten. Bedrohungsakteure haben bereits gefälschte Browser-Add-Ins unter dem Namen OpenClaw erstellt, um Malware zu verbreiten, wie von Sicherheitsforschern und Analysten, darunter YouTuber John Hammond, dokumentiert wurde.

Kron und Krämer merken an: „Ein Problem des KI-Agenten ist, auf wie viele Informationen das Skript zugreifen kann. Beispielsweise mag es in Ordnung und sinnvoll erscheinen, ihm vollen Zugriff auf alle E-Mails zu gewähren, dass er als ein persönlicher Assistent fungiert. Allerdings besteht eine reale Gefahr nicht nur durch böswillige Nutzung, sondern auch durch versehentliche Handlungen, wenn KI-Agenten diese Art von Zugriff gewährt wird. Im Handumdrehen könnte es E-Mails löschen oder böswillige Aktionen ausführen, wie personenbezogene Daten an Cyberkriminelle weiterleiten.

OpenClaw ist ein vielversprechender Ansatz, der eindrücklich die Risiken von mangelnder menschlicher Übersicht aufzeigt. Konfigurationen sind heute schon komplex und die Hoffnung, dass zukünftig technische Lösungen automatisiert sicherer agieren als Menschen, wurde hier offensichtlich nicht erfüllt. Leider zeigen uns die nun bekannt gewordenen Details im Gegenteil auf, was passiert, wenn sich eine Automatisierung verselbstständigt.“

Die grundlegende Sicherheitsherausforderung geht über böswillige Ausnutzung hinaus und umfasst auch die Risiken versehentlicher Handlungen, wenn KI-Agenten umfassenden Systemzugriff erhalten. Die Gewährung des vollständigen E-Mail-Zugriffs für Assistenzfunktionen birgt das Risiko der unbeabsichtigten Löschung oder Weiterleitung personenbezogener Daten.

Der Morris-Wurm von 1988, der 60.000 vernetzte Computer befallen hatte, veranlasste die DARPA, die Gründung des CERT/CC an der Carnegie Mellon University zur Koordinierung von Netzwerknotfällen zu finanzieren. Das heutige OpenClaw-Netzwerk umfasst bereits Hunderttausende von Mitgliedern und wächst täglich weiter, doch gibt es keinen vergleichbaren Koordinierungsmechanismus für die Sicherheit von KI-Agenten.

Organisationen wie KnowBe4 entwickeln ganzheitliche Risikomanagementmaßnahmen, darunter Schulungen gegen Prompt-Engineering-Angriffe, ähnlich wie bei Social-Engineering-Abwehrmaßnahmen. Umfassende Lösungen zur Sicherung von Agentenkontexten, insbesondere in Bezug auf Berechtigungen für den Daten- und Systemzugriff, bleiben jedoch für die zukünftige Entwicklung unerlässlich.

Die Plattform zeigt sowohl das Potenzial als auch die Gefahren von KI-Agentennetzwerken auf. Während automatisierte Systeme in Bereichen wie Restaurant- und Hotelreservierungen nützliche Funktionen erfüllen, unterstreicht der Fall OpenClaw die Notwendigkeit von Transparenz, Erklärbarkeit und menschlicher Aufsicht beim Einsatz von KI-Agenten. Sicherheitsexperten empfehlen, solche Software in Sandbox-Umgebungen zu testen und dabei die Aktivitäten und Aktionen genau zu überwachen.

OpenClaw operates by connecting to AI models from OpenAI and Anthropic while running organizing code locally on users‘ devices. The agents can perform tasks autonomously at regular intervals, including checking email, playing music, and sending messages. Most significantly, these agents interact with each other through communication apps and platforms like Moltbook, a simulated social network where AI agents post and comment.

Security researchers have identified substantial vulnerabilities within the ecosystem. Simula Research Laboratory found 506 posts on Moltbook—representing 2.6 percent of sampled content—containing hidden prompt-injection attacks. Cisco researchers documented a malicious skill called „What Would Elon Do?“ that exfiltrated data to external servers while achieving top ranking in the skill repository through artificial inflation.

The platform’s architecture creates what Palo Alto Networks describes as a „lethal trifecta“ of vulnerabilities: access to private data, exposure to untrusted content, and the ability to communicate externally. A fourth risk factor—persistent memory—enables malicious payloads to be fragmented across untrusted inputs, appearing benign in isolation before being assembled into executable instructions.

In March 2024, security researchers Ben Nassi, Stav Cohen, and Ron Bitton published research on „Morris-II,“ demonstrating how self-replicating prompts could spread through AI-powered email assistants. OpenClaw’s structure multiplies these attack vectors through its unmoderated skill extension registry, where agents can install and share capabilities without oversight.

A recent disclosure by security researcher Gal Nagli of Wiz.io revealed a misconfigured database that exposed Moltbook’s entire backend: 1.5 million API tokens, 35,000 email addresses, and private messages between agents. The vulnerability included full write access to platform posts, potentially allowing injection of malicious instructions into content that hundreds of thousands of agents poll every four hours.

OpenAI and Anthropic currently maintain indirect control over the network, as most OpenClaw agents rely on their APIs. These companies could theoretically identify and terminate suspicious accounts exhibiting bot-like behavior patterns. However, this intervention window is closing as locally run language models continue to improve. Within one to two years, agents running on local hardware may match current commercial model capabilities, eliminating centralized control mechanisms.

The OpenClaw platform was developed through „vibe-coding,“ where AI coding models built and deployed the application rapidly without comprehensive vetting. This approach, combined with rapid-fire updates using the same technique, has contributed to security oversights.

Erich Kron & Dr. Martin Krämer, CISO-Advisors at KnowBe4 note that the constant name changes—from Clawdbot to Moltbot to OpenClaw—suggest insufficient consideration of security implications during development. Threat actors have already created fake browser add-ins using the OpenClaw name to distribute malware, as documented by security researchers and analysts including YouTuber John Hammond.

Kron and Krämer note: “One problem with AI agents is how much information the script can access. For example, it may seem fine and sensible to give it full access to all emails so that it can act as a personal assistant. However, there is a real danger not only from malicious use, but also from accidental actions when AI agents are granted this type of access. In the blink of an eye, it could delete emails or perform malicious actions, such as forwarding personal data to cybercriminals.

OpenClaw is a promising approach that impressively demonstrates the risks of a lack of human oversight. Configurations are already complex today, and the hope that technical solutions will automatically act more securely than humans in the future has clearly not been fulfilled here. Unfortunately, the details that have now come to light show us the opposite: what happens when automation takes on a life of its own.”

The fundamental security challenge extends beyond malicious exploitation to the risks of accidental actions when AI agents receive broad system access. Granting an agent full email access for assistant functions creates potential for unintended data deletion or forwarding of personal information.

The Morris worm of 1988, which affected 60,000 connected computers, prompted DARPA to fund the creation of CERT/CC at Carnegie Mellon University for coordinating network emergencies. Today’s OpenClaw network already numbers in the hundreds of thousands and continues growing daily, yet no comparable coordination mechanism exists for AI agent security.

Organizations like KnowBe4 are developing holistic risk management measures, including training against prompt engineering attacks similar to social engineering defenses. However, comprehensive solutions for securing agent contexts, particularly regarding permissions for data and system access, remain essential for future development.

The platform demonstrates both the potential and perils of AI agent networks. While automated systems serve useful functions in areas like restaurant and hotel reservations, the OpenClaw case underscores the need for transparency, explainability, and human oversight in AI agent deployment. Security experts recommend testing such software in sandbox environments with close monitoring of activities and actions.