OpenClaw gilt als das Schweizer Taschenmesser der lokalen KI-Agenten. Controllbar über WhatsApp, Telegram oder Slack, läuft die Open-Source-Software auf dem eigenen Rechner und verbindet große Sprachmodelle mit dem lokalen Dateisystem, dem Browser und Dutzenden Drittanbieter-Diensten. Seit November 2025 verzeichnet das Projekt – früher unter den Namen Clawdbot und Moltbot bekannt – den schnellsten GitHub-Star-Anstieg aller Zeiten. Doch der Hype hat eine Schattenseite: Sicherheitsforscher mehrerer Unternehmen dokumentieren eine Kette kritischer Schwachstellen, massenhaft exponierte Instanzen und einen wachsenden Marktplatz für bösartige Skills.
Was ist OpenClaw?
OpenClaw ist ein lokal ausführbarer KI-Agent, der sich über Messaging-Plattformen wie WhatsApp, Telegram und Slack steuern lässt. Die Software fungiert als Brücke zwischen großen Sprachmodellen und dem lokalen System: Dateien lesen, Terminal-Befehle ausführen, Webseiten aufrufen, E-Mails versenden. Über sogenannte Skills – Erweiterungsmodule, die auf dem Community-Marktplatz ClawHub bereitstehen – lässt sich der Funktionsumfang beliebig erweitern. Die Architektur erinnert an einen App-Store für KI-Agenten, nur ohne nennenswerte Sicherheitskontrollen.
Genau diese Kombination aus breitem Systemzugriff, unkontrolliertem Erweiterungssystem und explosionsartigem Nutzerwachstum macht OpenClaw zum perfekten Angriffsziel.
Drei kritische CVEs – und die Mehrheit läuft ungepatcht
Zwischen Dezember 2025 und Januar 2026 wurden drei schwerwiegende Schwachstellen öffentlich:
- CVE-2026-25253 (CVSS 8.8) – One-Click Remote Code Execution durch Token-Exfiltration über WebSocket. Ein Angreifer muss das Opfer lediglich dazu bringen, einen präparierten Link zu öffnen. Der WebSocket-Endpunkt authentifiziert eingehende Verbindungen nicht ausreichend, wodurch Session-Tokens abfließen und beliebiger Code auf dem Host ausgeführt werden kann.
- CVE-2026-25157 (CVSS 7.8) – SSH Command Injection in der macOS-App. Durch manipulierte Eingabeparameter lassen sich Shell-Befehle über den SSH-Handler einschleusen. Betroffen sind alle macOS-Installationen vor Version 2026.1.29.
- CVE-2026-24763 (CVSS 8.8) – Docker Sandbox Escape durch PATH-Manipulation. OpenClaw bietet einen Docker-Container als vermeintlich sichere Ausführungsumgebung an. Durch gezielte Manipulation der PATH-Umgebungsvariable lässt sich aus dem Container auf das Host-System ausbrechen.
Alle drei Schwachstellen wurden mit Version 2026.1.29 am 29. Januar 2026 behoben. Das Problem: Die überwältigende Mehrheit der Installationen läuft weiterhin auf älteren Versionen. Laut Censys waren am 31. Januar 2026 exakt 21.639 Instanzen öffentlich erreichbar. 63 Prozent der beobachteten Deployments sind verwundbar, 12.812 davon direkt über RCE angreifbar.
135.000 exponierte Instanzen – die Zahlen divergieren, die Lage ist eindeutig
Die Schätzungen zur Gesamtzahl exponierter OpenClaw-Instanzen variieren je nach Methodik erheblich:
- Bitsight: über 30.000 exponierte Instanzen
- SecurityScorecard: über 40.000
- Bitdefender: 135.000
- Censys (verifiziert, 31.01.2026): 21.639
Die Unterschiede erklären sich durch verschiedene Scan-Methoden und -Zeitpunkte. Entscheidend ist nicht die exakte Zahl, sondern die Größenordnung: Zehntausende Instanzen mit vollem Systemzugriff stehen offen im Netz – ohne Authentifizierung, ohne Firewall, ohne Monitoring.
Pillar Security dokumentiert, dass Angreifer systematisch Port 18789 scannen und Prompt Injection mit direkten API-Angriffen kombinieren. Der Angriffsvektor ist doppelt: Sowohl die API-Schnittstelle als auch das Sprachmodell selbst werden attackiert. Mehr zur grundlegenden Problematik von Prompt Injection als unlösbarem Sicherheitsproblem haben wir separat analysiert.
ClawHub: 900+ bösartige Skills und vier gezielte Kampagnen
ClawHub, der Community-Marktplatz für OpenClaw-Erweiterungen, hat sich zum primären Distributionskanal für Malware entwickelt. Bitdefender identifizierte über 900 bösartige Skills und ordnete sie vier koordinierten Kampagnen zu:
- ClawHavoc: Skills, die nach Installation eine Reverse Shell öffnen und den Rechner in ein Botnetz eingliedern.
- AuthTool: Getarnt als Authentifizierungshilfe, extrahiert diese Kampagne API-Keys, OAuth-Tokens und Session-Cookies aus dem lokalen System.
- Hidden Backdoor: Unauffällige Skills, die eine persistente Hintertür installieren und Command-and-Control-Kommunikation über DNS-Tunneling aufbauen.
- Eine vierte, nicht namentlich genannte Kampagne mit Fokus auf Kryptowährungs-Wallets.
Besonders aufschlussreich ist die Cisco-Analyse des Skills «What Would Elon Do?». Das als Produktivitätstool vermarktete Modul ist funktional betrachtet Malware: Es exfiltriert stillschweigend lokale Daten über curl-Befehle an externe Server. Der Nutzer bemerkt nichts, weil die Datenübertragung im Hintergrund der normalen Skill-Ausführung geschieht.
Parallel dazu deckte Wiz eine Datenbank-Leakage des Moltbook-Dienstes auf – einer Cloud-Variante des ursprünglichen Moltbot-Projekts. Betroffen: 1,5 Millionen API-Tokens und 35.000 E-Mail-Adressen. Wer diese Tokens besitzt, kann auf die verknüpften KI-Dienste zugreifen, ohne sich authentifizieren zu müssen.
Die «Lethal Trifecta» – warum OpenClaw architektonisch unsicher ist
Der Sicherheitsforscher Simon Willison prägte für die Architektur von Tools wie OpenClaw den Begriff «Lethal Trifecta»: Sobald ein System drei Eigenschaften gleichzeitig aufweist, ist es grundsätzlich angreifbar – unabhängig von nachträglichen Sicherheitsmaßnahmen:
- Zugriff auf private Daten – OpenClaw liest lokale Dateien, E-Mails, Kalender, Datenbanken.
- Verarbeitung nicht vertrauenswürdiger Inhalte – Skills, Webseiten, Chat-Nachrichten enthalten potenziell manipulierte Eingaben.
- Externe Kommunikation – OpenClaw kann E-Mails senden, APIs aufrufen, Dateien hochladen.
Private Daten plus nicht vertrauenswürdige Inhalte plus ein Exfiltrationsvektor: Das ist die Formel für Prompt Injection im großen Stil. Kein Input-Filter und kein Sandboxing kann dieses Problem vollständig lösen, solange die Architektur diese drei Elemente vereint. Wer KI-Agenten einsetzt, muss dieses Risiko durch Zero-Trust-Architekturen für AI Agents kontrollieren.
Was Nutzer jetzt tun müssen
OpenClaw hat als Reaktion auf die Enthüllungen VirusTotal-Scanning für ClawHub-Skills eingeführt. Das ist ein Anfang, aber nicht ausreichend. Konkret sollten Nutzer folgende Maßnahmen ergreifen:
- Sofort auf Version 2026.1.29 oder neuer aktualisieren. Alle drei kritischen CVEs sind dort gepatcht.
- Port 18789 nicht nach außen exponieren. OpenClaw gehört hinter eine Firewall, idealerweise nur über localhost erreichbar.
- Installierte Skills auditieren. Jedes Modul, das nicht aus einer vertrauenswürdigen Quelle stammt, deinstallieren.
- API-Tokens rotieren. Wer Moltbook verwendet hat, muss sämtliche verknüpften API-Schlüssel als kompromittiert betrachten.
- Netzwerkverkehr überwachen. Ungewöhnliche ausgehende Verbindungen, insbesondere über curl oder DNS-Tunneling, sollten Alarme auslösen.
- Docker-Sandbox nicht als Sicherheitsgrenze betrachten. CVE-2026-24763 zeigt, dass der Container-Ausbruch trivial ist.
Parallel warnt der Verfassungsschutz (BfV) vor einer Zunahme von Phishing-Angriffen über Signal – ein weiterer Beleg dafür, dass Messaging-Plattformen zum bevorzugten Angriffskanal werden. OpenClaw, das genau über diese Kanäle gesteuert wird, vergrößert die Angriffsfläche zusätzlich.
Die zentrale Lektion: Open-Source-KI-Agenten mit Systemzugriff sind keine Spielzeuge. Sie sind vollwertige Angriffsvektoren.
Quellen
- Censys – Exposed OpenClaw Instances Report, 31. Januar 2026
- Bitdefender – ClawHub Malicious Skills Analysis, Januar 2026
- Pillar Security – OpenClaw Attack Surface Report, Januar 2026
- Cisco Talos – «What Would Elon Do?» Skill Analysis, Januar 2026
- Wiz Research – Moltbook Database Leak Disclosure, Dezember 2025
- Simon Willison – «The Lethal Trifecta», simonwillison.net
- NVD – CVE-2026-25253, CVE-2026-25157, CVE-2026-24763
- Bundesamt für Verfassungsschutz – Warnung vor Signal-Phishing, Februar 2026