Ein Klick auf einen vielversprechenden Crypto-Trading-Skill im ClawHub, und zwei Minuten später gehören deine Exchange-API-Keys, SSH-Credentials und gespeicherten Browser-Passwörter jemandem in einem Rechenzentrum, das du niemals betreten wirst. Wie The Verge berichtet, hat die Sicherheitsplattform OpenSourceMalware zwischen dem 27. Januar und dem 2. Februar 2026 exakt 414 bösartige Skills auf dem ClawHub-Marktplatz von OpenClaw identifiziert – und das ist nur der Ausschnitt, den ein einzelner Scanner in wenigen Tagen gefunden hat. Snyk und AuthMind kommen in ihrer Analyse auf mindestens 230 weitere kompromittierte Add-ons von insgesamt 3.984 untersuchten Skills, von denen 13,4 Prozent kritische Sicherheitsprobleme aufweisen. Willkommen im sorglosesten Plugin-Store seit den wilden Tagen der Firefox-Erweiterungen um 2009.
- OpenClaw und sein Marktplatz ClawHub weisen erhebliche Sicherheitsrisiken durch bösartige Skills und strukturelle Schwachstellen auf.
- Über 414 bösartige Skills wurden identifiziert, die zum Diebstahl von Credentials, API-Keys und Unternehmensdaten genutzt werden können.
- Die Kombination aus vollem Systemzugriff und einem unkuratierten Plugin-Ökosystem macht OpenClaw zu einem privilegierten Einfallstor, vergleichbar mit früheren Browser-Erweiterungen mit Adware und Credential-Stealern.
Die Architektur des Problems: Warum OpenClaw strukturell gefährlich ist
OpenClaw – ursprünglich als Clawdbot gestartet, dann kurz Moltbot genannt – ist kein gewöhnlicher Chatbot-Wrapper. Der Agent läuft lokal auf deinem Gerät und bekommt von vielen Nutzern vollständigen Systemzugriff: Dateien lesen und schreiben, Skripte ausführen, Shell-Commands abfeuern. Das ist kein Bug, das ist das Feature-Set.
Das Problem: Ein Agent mit root-ähnlichen Rechten, der gleichzeitig Drittanbieter-Code aus einem offenen Marktplatz nachladen kann, ist aus Sicherheitssicht ein Alptraum. Stell dir einen Kubernetes-Cluster vor, bei dem jeder beliebige Nutzer sein eigenes Container-Image als Sidecar einschleusen kann – ohne Image-Signing, ohne Policy-Engine, ohne Admission-Controller. Genau das passiert hier auf Anwendungsebene.
Die Kombination aus vollem Systemzugriff und unkuratiertem Plugin-Ökosystem macht OpenClaw nicht zu einem mächtigen Werkzeug, sondern zu einem privilegierten Einfallstor.
1Password-Produkt-VP Jason Meller bringt es auf den Punkt: OpenClaw's Skill-Hub ist eine „attack surface" geworden, und der meistgeladene Add-on sei ein „malware delivery vehicle". Skills werden oft als Markdown-Dateien hochgeladen – ein Format, das sowohl Nutzer als auch den KI-Agenten selbst mit manipulierten Instruktionen vergiften kann.
CVE-2026-25253: Remote Code Execution mit einem einzigen Link
Die kritischste bekannte Schwachstelle trägt den CVSS-Score 8.8 und betrifft alle OpenClaw-Versionen vor 2026.1.29. Der Angriffsvektor ist erschreckend simpel: Ein manipulierter gatewayUrl-Parameter triggert eine automatische WebSocket-Verbindung zu einem Angreifer-Server. Sobald diese Verbindung steht, werden Authentifizierungstoken abgegriffen und der Angreifer erhält vollen Zugriff auf Dateien, API-Keys und sämtliche Konfigurationsdaten.
Der Exploit erfordert keinen Phishing-Angriff mit aufwendigem Social Engineering. Ein einziger bösartiger Link in einer E-Mail, einem Ticket-System oder einem Slack-Kanal reicht aus, wenn der Nutzer diesen über eine OpenClaw-Session öffnet. Dazu kommt CVE-2026-25475 (CVSS 6.5): Path Traversal via manipulierter MEDIA-URIs in src/media/parse.ts, der das Lesen beliebiger Systemdateien erlaubt.
Über 40 Patches wurden inzwischen veröffentlicht, doch fundamentale Architekturentscheidungen – fehlende granulare Rechteverwaltung, kein Sandboxing auf Kernel-Ebene – lassen sich nicht mit Hotfixes beheben. Das ist wie ein Haus, dessen Fundament schief gegossen wurde: Tapezieren hilft kurzfristig, löst aber das strukturelle Problem nicht.
Bis zu 135.000 falsch konfigurierte OpenClaw-Instanzen exponieren öffentlich API-Keys, Chat-Verläufe und Konfigurationsdaten – das ist kein Randproblem, das ist eine epidemische Fehlkonfiguration.
ClawHub als Malware-Delivery-Pipeline: Die Browser-Extension-Parallele
Wer die Geschichte der Browser-Erweiterungen kennt, erkennt das Muster sofort. Zwischen 2010 und 2015 waren Chrome und Firefox Extension Stores das beliebteste Vehikel für Adware, Credential-Stealer und Click-Fraud-Netzwerke. Google hat Jahre gebraucht, um den Chrome Web Store mit Manifest V3 und maschinellen Review-Prozessen halbwegs sicher zu kriegen – und kämpft bis heute gegen Umgehungsversuche.
ClawHub befindet sich in einer frühen Phase, in der es weder automatisierte Malware-Scans noch ein zertifiziertes Publisher-Programm gab. Seit Februar 2026 werden Skills zwar gescannt, aber der Schaden ist bereits entstanden. Die 414 bösartigen Skills – verkleidet als Cryptocurrency-Trading-Automationen – haben Nutzerdaten bereits abgegriffen.
Das Perfide an der Angriffsmethode: Die Skills „masquerade as cryptocurrency trading automation tools", wie OpenSourceMalware dokumentiert. Sie lösen damit gezielt bei einer Nutzergruppe mit hohem Vermögenswert aus – Crypto-Trader mit Exchange-API-Keys und Wallet-Private-Keys sind hochwertige Targets. Der Schaden ist nicht theoretisch, er ist liquidierbar.
Ein offener Marktplatz ohne kuratierte Vertrauenskette ist kein Feature, es ist ein strukturell offener Seiteneingang für Angreifer.
Prompt Injection: Wenn dein Agent gegen dich arbeitet
Neben klassischer Malware gibt es einen zweiten, subtileren Angriffsvektor: Prompt Injection. Da OpenClaw autonom im Web recherchiert, E-Mails verarbeitet und Kalender verwaltet, kann bösartiger Content in externen Quellen den Agenten direkt manipulieren.
Das Angriffsszenario ist nicht hypothetisch: Eine präparierte Webseite oder eine manipulierte E-Mail enthält versteckte Instruktionen im Text. Der Agent liest den Inhalt, interpretiert die eingebetteten Befehle als legitime Instruktionen und exfiltriert anschließend Dateien, löscht Daten oder leitet Kommunikation weiter – alles ohne sichtbare Nutzerinteraktion.
Für Unternehmensumgebungen ist das die gefährlichste Angriffsklasse. Ein Buchhaltungsworkflow, bei dem OpenClaw automatisch Rechnungs-PDFs verarbeitet, ist ein offenes Fenster für Document-based Prompt Injection. Ein Kundenservice-Agent, der externe Ticket-Inhalte liest, kann durch Kunden-seitige Manipulation umgelenkt werden.
Google Cloud-VP Heather Adkins hat ihre Einschätzung in drei Worten zusammengefasst: „Don't run Clawdbot." Das ist kein Panikmachen – das ist eine nüchterne Risk-Bewertung von jemandem, die täglich mit APT-Gruppen auf Unternehmensebene arbeitet.
Der Business-Kontext: Was das für dein Unternehmen konkret bedeutet
OpenClaw ist produktiv. Das ist nicht in Frage zu stellen. Ein Agent, der deinen Kalender managed, Flüge eincheckt, die Inbox filtert und über WhatsApp steuerbar ist, löst echte Effizienzprobleme. In Buchhaltungsabteilungen kann ein korrekt konfigurierter Agent Rechnungsabgleiche automatisieren und Hunderte Arbeitsstunden im Monat einsparen. Im Kundenservice kann er First-Level-Tickets klassifizieren und routen, ohne dass ein Mensch die Hand hebt.
Das Problem ist nicht die Technologie, sondern die aktuelle Reifegrad-Diskrepanz zwischen Capability und Security-Posture. Für Unternehmenseinsatz gelten folgende Mindestanforderungen, die OpenClaw aktuell nicht erfüllt: granulares Least-Privilege-Modell auf OS-Ebene, signierte und geprüfte Erweiterungen aus einem kontrollierten Repository, Netzwerksegmentierung für den Agenten-Prozess sowie ein Audit-Log aller ausgeführten Aktionen.
Dazu kommt die DSGVO-Dimension. Wenn ein OpenClaw-Agent Chat-Verläufe, Kunden-E-Mails oder HR-Daten verarbeitet und diese durch eine Sicherheitslücke oder einen kompromittierten Skill exfiltriert werden, liegt die volle Haftung beim Unternehmen – nicht beim Open-Source-Projekt. Kein Herstellerregress, keine Versicherung, die das unkritisch abdeckt, kein Audit-Trail der geforderten DSGVO-Qualität.
Wer OpenClaw heute in produktive Unternehmensworkflows integriert, ohne Sandboxing, Netzwerkbeschränkungen und Drittanbieter-Skill-Verbot, betreibt Security-Theater – und unterschreibt gleichzeitig ein blankes Schuldanerkenntnis gegenüber der Aufsichtsbehörde.
Die technisch saubere Alternative bis zur Reife der Plattform: OpenClaw in einer dedizierten VM mit eingeschränktem Netzwerkzugang betreiben, ausschließlich intern gepflegte und geprüfte Skills verwenden, und den Agenten-Prozess unter einem Least-Privilege-Systemkonto ohne Schreibzugriff auf sensible Verzeichnisse laufen lassen. Das kostet Einrichtungszeit, reduziert aber die Attack Surface auf ein akzeptables Niveau.
Wer tiefer in die Absicherung autonomer Agenten einsteigen will – insbesondere in die Frage, wie Sandboxing-Architekturen und Tool-Call-Auditing für LLM-basierte Systeme aussehen sollten – findet im Kontext von Model Context Protocol (MCP) und dessen Sicherheitsimplikationen den nächsten wichtigen Anlaufpunkt.
Fazit: So What für deinen Arbeitsalltag
OpenClaw abzuschreiben wäre zu simpel. Die Technologie adressiert echte Workflow-Probleme, und das Projekt entwickelt sich schnell. Aber der aktuelle Zustand ist für ernsthafte Unternehmensumgebungen nicht tragbar. Die sofort umsetzbare Maßnahme ist klar: Keine Drittanbieter-Skills aus ClawHub installieren. Punkt. Bis ein transparenter, signaturbasierter Verifizierungsprozess existiert, ist jeder externe Skill ein unkontrolliertes Dependency-Risiko. Wer OpenClaw intern nutzen will, baut seine eigene, geprüfte Skill-Library auf – oder wartet auf eine Version, die Least-Privilege-Architektur nicht als optionales Hardening, sondern als Default mitliefert.
