BREAKING
Der Agent als Angriffsziel: Google enthüllt, wie Hacker autonome KI kapern Der Axios-Hack: Wie nordkoreanische Cyberkriminelle mit gefälschten Microsoft-Teams-Updates die Node.js-Lieferkette kompromittierten 766 Hosts in 24 Stunden: Die React2Shell-Kampagne und was sie über industrialisierte Cyberangriffe verrät Cylake: Palo-Alto-Gründer Nir Zuk setzt $45 Millionen gegen die Cloud — Warum On-Premise-Security zurückkehrt Der Trivy Supply Chain Compromise: Wenn die Wächter selbst zur Waffe werden
AI Agent Security LLM Security

OpenClaw-Krise – 135.000 exponierte KI-Agenten und die Folgen

Clara
4 min read
OpenClaw-Krise – 135.000 exponierte KI-Agenten und die Folgen

OpenClaw, der Open-Source-KI-Assistent der seit Ende Januar 2026 rasant an Popularität gewinnt, hat sich innerhalb weniger Wochen zur größten Sicherheitskrise im Bereich AI Agent Security entwickelt. Was als vielversprechendes Projekt für einen persönlichen KI-Agenten mit nativen Integrationen in E-Mail, Kalender und Smart-Home begann, ist mittlerweile ein Paradebeispiel dafür, was passiert, wenn KI-Agenten ohne Sicherheitskonzept in Produktion gehen.

Von 1.000 auf 135.000 exponierte Instanzen

Censys identifizierte am 31. Januar 2026 rund 21.000 öffentlich erreichbare OpenClaw-Instanzen. Innerhalb einer Woche verdoppelte sich die Zahl auf über 30.000. Mitte Februar 2026 liegt die Zahl laut aktuellen Scans bei über 135.000 exponierten Instanzen – ein exponentielles Wachstum, das die Geschwindigkeit der Adoption widerspiegelt, aber auch die Nachlässigkeit bei der Absicherung.

Die geographische Verteilung zeigt Schwerpunkte in den USA, China und Singapur. Doch auch europäische Instanzen sind betroffen – mit potenziell gravierenden DSGVO-Implikationen.

CVE-2026-25253: One-Click Remote Code Execution

Die gravierendste Schwachstelle trägt die Kennung CVE-2026-25253: Ein manipulierter Link genügt, um auf verwundbaren OpenClaw-Instanzen beliebigen Code auszuführen – eine klassische One-Click Remote Code Execution. OpenClaw hat die Lücke in Version 2026.1.29 gepatcht, doch 63 Prozent aller beobachteten Instanzen sind weiterhin verwundbar. Das entspricht über 12.800 Systemen, die aktiv für RCE-Angriffe ausnutzbar sind.

Die Schwachstelle ist besonders kritisch, weil OpenClaw-Instanzen typischerweise mit weitreichenden Berechtigungen laufen: E-Mail-Zugang, Kalender-APIs, Smart-Home-Steuerung und teilweise Zugriff auf Unternehmenssysteme. Ein kompromittierter Agent wird damit zum perfekten Pivot-Punkt für laterale Bewegung im Netzwerk.

1,5 Millionen API-Tokens geleakt

Noch alarmierender als die RCE-Lücke ist das Ausmaß der bereits eingetretenen Datenlecks. Sicherheitsforscher dokumentierten:

  • 1,5 Millionen API-Authentifizierungstoken waren öffentlich einsehbar
  • 35.000 E-Mail-Adressen wurden exponiert
  • Private Nachrichten zwischen Agenten lagen offen
  • Fehlkonfigurierte Instanzen leakten OAuth-Tokens und Klartext-Credentials

Für Angreifer ist das ein Schlaraffenland: Mit gestohlenen API-Tokens lassen sich nicht nur die betroffenen OpenClaw-Instanzen übernehmen, sondern auch die angebundenen Dienste – von Google Workspace über Microsoft 365 bis hin zu internen Unternehmensanwendungen.

Supply-Chain-Risiko: Malicious Skills auf npm und PyPI

Parallel zur Expositionskrise hat sich ein weiteres Bedrohungsszenario materialisiert: Die Zahl der Pakete auf npm und PyPI mit dem Namen „claw“ ist von nahezu null Anfang 2026 auf über 1.000 angestiegen. Darunter befinden sich zahlreiche Typosquats – Pakete mit absichtlich ähnlichen Namen, die Schadcode enthalten.

OpenClaw reagierte Mitte Februar mit der Integration von VirusTotal-Scanning für Skills aus dem ClawHub-Marketplace. Ein notwendiger Schritt, aber einer der zu spät kommt: Unbekannt viele Nutzer haben bereits kompromittierte Skills installiert, ohne es zu wissen.

Kontext: Moody's warnt vor autonomen KI-Angriffen

Die OpenClaw-Krise passt in ein größeres Bild. Moody's prognostiziert in seinem Cyber Outlook 2026, dass KI-gestützte Angriffe in diesem Jahr „in einen höheren Gang schalten“ werden. Konkret erwartet die Ratingagentur:

  • Adaptive Malware, die sich dynamisch an Verteidigungsmaßnahmen anpasst
  • Erste Anzeichen autonomer Angriffe durch KI-Agenten
  • Model Poisoning als wachsendes Risiko bei Unternehmen, die KI ohne angemessene Schutzmaßnahmen einsetzen

Gleichzeitig verweist Moody's auf die regulatorische Fragmentierung: Das wachsende Flickwerk an Cybersecurity-Vorschriften über verschiedene Jurisdiktionen hinweg erzeugt operative Komplexität, die globalen Unternehmen das Compliance-Management erschwert.

International AI Safety Report 2026: Strukturelle Warnung

Der im Februar 2026 veröffentlichte zweite International AI Safety Report – verfasst von über 100 Experten unter Leitung von Turing-Preisträger Yoshua Bengio und unterstützt von mehr als 30 Ländern – formuliert eine fundamentale Warnung: KI-Systeme verbessern sich in Bereichen wie autonomem Handeln rapide, während die globalen Frameworks zum Risikomanagement noch unreif sind.

Besonders relevant für den OpenClaw-Fall: Der Report identifiziert den Verkauf vorgefertigter KI-Angriffstools auf Untergrund-Marktplätzen als wachsendes Risiko. Die Eintrittshürde für KI-gestützte Cyberangriffe sinkt – und exponierte Agent-Instanzen wie OpenClaw machen es Angreifern noch einfacher.

Lehren für AI Agent Security

Die OpenClaw-Krise verdeutlicht drei strukturelle Probleme, die weit über ein einzelnes Projekt hinausgehen:

  1. Security-by-Default fehlt: KI-Agenten werden mit maximalen Berechtigungen und minimaler Absicherung deployt. Die Standardkonfiguration muss sicher sein – nicht die Ausnahme.
  2. Agent Identity Management existiert nicht: OpenClaw-Instanzen haben keine standardisierten Identitäten, keine Audit-Trails und keine granularen Berechtigungskonzepte. Was für menschliche Nutzer längst Standard ist, fehlt für KI-Agenten komplett.
  3. Supply-Chain-Sicherheit für AI Skills ist ungelöst: Der ClawHub-Marketplace repliziert die Fehler, die npm und PyPI über Jahre gemacht haben – ohne aus deren Erfahrungen zu lernen.

Für Unternehmen, die OpenClaw oder vergleichbare KI-Agenten evaluieren, gilt: Jede Instanz muss hinter einer Firewall betrieben werden, API-Tokens müssen rotiert und Berechtigungen nach dem Least-Privilege-Prinzip vergeben werden. Die Version 2026.1.29 oder neuer ist Pflicht.

Fazit

OpenClaw ist der erste große Stresstest für AI Agent Security im Jahr 2026 – und die Branche hat ihn nicht bestanden. 135.000 exponierte Instanzen, 1,5 Millionen geleakte API-Tokens und eine ungepatchte RCE-Lücke auf zwei Dritteln aller Systeme zeigen: Die Sicherheitsarchitekturen für KI-Agenten halten mit der Geschwindigkeit der Adoption nicht Schritt. Das ist kein OpenClaw-Problem – es ist ein Branchenproblem.

Quellen

  • Censys – OpenClaw in the Wild: Mapping the Public Exposure of a Viral AI Assistant (Februar 2026)
  • Adversa AI – OpenClaw Security 101: Vulnerabilities & Hardening (Februar 2026)
  • Infosecurity Magazine – Researchers Find 40,000+ Exposed OpenClaw Instances
  • The Hacker News – OpenClaw Integrates VirusTotal Scanning (Februar 2026)
  • Moody's – Digital Economy 2026: Cyber Risk Outlook
  • International AI Safety Report 2026 – Yoshua Bengio et al.
Teilen:
AI Agent Security LLM Security Supply Chain Security GOOGL MSFT
// Mission Critical

Woechentliches AI Security Briefing erhalten.

Fuer Analysten, Forscher und Verteidiger, die Bedrohungen im AI Stack verfolgen.

Kostenlos abonnieren

Verwandte Artikel