Ein Bericht von Certik hebt erhebliche Sicherheitsmängel bei Openclaw, einer Open-Source-KI-Plattform, hervor, insbesondere deren Abhängigkeit vom „Skill-Scanning“, das die Nutzer nicht ausreichend vor bösartigen Erweiterungen von Drittanbietern schützt.
Openclaw-KI-Funktionen sind anfällig für böswillige Angriffe, warnen Forscher von Certik
GESCHRIEBEN VON
TEILEN
Einschränkungen der Clawhub-Moderationspipeline
Ein Bericht des Cybersicherheitsunternehmens Certik hat erhebliche Sicherheitslücken in OpenClaw, einer Open-Source-Plattform für KI-Agenten, aufgedeckt und warnt, dass deren Abhängigkeit vom „Skill-Scanning“ nicht ausreicht, um Nutzer vor bösartigen Erweiterungen von Drittanbietern zu schützen.
Die am 16. März 2026 veröffentlichten Ergebnisse deuten darauf hin, dass das Sicherheitsmodell der Plattform zu stark auf Erkennung und Warnungen statt auf einer robusten Laufzeitisolierung basiert, wodurch Nutzer anfällig für Kompromittierungen auf Host-Ebene sind.
Dem Bericht zufolge nutzt der Marktplatz von OpenClaw, Clawhub, derzeit einen mehrstufigen Moderationsprozess zur Überprüfung von „Skills“ – Anwendungen von Drittanbietern, die dem KI-Agenten Funktionen wie Systemautomatisierung oder den Betrieb von Kryptowährungs-Wallets ermöglichen. Diese Pipeline umfasst Virustotal zum Scannen bekannter Malware sowie die Static Moderation Engine, ein am 8. März 2026 eingeführtes Tool zur Kennzeichnung verdächtiger Codemuster. Sie umfasst zudem einen sogenannten „Inkohärenzdetektor“, der darauf ausgelegt ist, Diskrepanzen zwischen dem angegebenen Zweck einer Skill und ihrem tatsächlichen Verhalten aufzudecken. Die Forscher von Certik gaben jedoch an, dass statische Regeln zur Suche nach „Warnsignalen“ durch einfache Code-Umschreibungen umgangen werden konnten. Sie stellten zudem fest, dass sich die KI-Prüfebene zwar als wirksam bei der Erkennung offensichtlicher Absichten erwies, jedoch Schwierigkeiten hatte, ausnutzbare Schwachstellen zu identifizieren, die in ansonsten plausibel erscheinendem Code verborgen waren.
Die „Pending“-Lücke
Einer der kritischsten von Certik identifizierten Mängel ist der Umgang mit ausstehenden Scan-Ergebnissen. Die Forscher stellten fest, dass ein Skill auf dem Marktplatz aktiv und installierbar bleiben konnte, selbst wenn die Ergebnisse von VirusTotal noch ausstanden – ein Prozess, der Stunden oder Tage dauern kann. In der Praxis wurden diese ausstehenden Skills als harmlos behandelt, sodass sie ohne Warnung an den Nutzer installiert werden konnten.
Um die Schwachstelle zu demonstrieren, entwickelten die Certik-Forscher eine Proof-of-Concept-Skill (PoC) namens „test-web-searcher“. Die Skill wirkte funktionsfähig und harmlos, enthielt jedoch einen versteckten, „schwachstellenartigen“ Fehler, der die Ausführung beliebiger Befehle auf dem Host-Rechner ermöglichte. Bei Aufruf über Telegram umging die Skill erfolgreich die optionale Sandbox-Umgebung von Openclaw und „öffnete einen Taschenrechner“ auf dem Rechner des Forschers – ein klassischer Beweis für eine vollständige Kompromittierung des Systems.
Autonome KI: Openclaw Bot erzeugt einen „Kind“-Agenten und finanziert ihn mit Bitcoin
Erfahren Sie mehr über den innovativen Openclaw-Agenten, der autonom und ohne menschliches Zutun Infrastruktur mit Bitcoin kauft. read more.
Jetzt lesen
Autonome KI: Openclaw Bot erzeugt einen „Kind“-Agenten und finanziert ihn mit Bitcoin
Erfahren Sie mehr über den innovativen Openclaw-Agenten, der autonom und ohne menschliches Zutun Infrastruktur mit Bitcoin kauft. read more.
Jetzt lesenAutonome KI: Openclaw Bot erzeugt einen „Kind“-Agenten und finanziert ihn mit Bitcoin
Jetzt lesenErfahren Sie mehr über den innovativen Openclaw-Agenten, der autonom und ohne menschliches Zutun Infrastruktur mit Bitcoin kauft. read more.
Der Bericht kommt zu dem Schluss, dass Erkennung niemals ein Ersatz für eine echte Sicherheitsgrenze sein kann. Certik fordert die Openclaw-Entwickler dringend auf, Skills von Drittanbietern standardmäßig in isolierten Umgebungen auszuführen, anstatt sich auf eine optionale Benutzerkonfiguration zu verlassen. Entwickler sollten zudem ein Modell implementieren, bei dem Skills bestimmte Ressourcenanforderungen im Voraus deklarieren müssen, ähnlich wie bei modernen mobilen Betriebssystemen.
Für Nutzer gab Certik eine deutliche Warnung heraus: Eine „harmlose“ Kennzeichnung auf Clawhub ist kein Beweis für Sicherheit. Solange eine stärkere Isolierung nicht standardmäßig vorhanden ist, sollte die Plattform nur in Umgebungen mit geringem Wert genutzt werden, fernab von sensiblen Zugangsdaten oder Vermögenswerten.
FAQ ❓
- Welches Sicherheitsproblem hat Certik bei Openclaw festgestellt? Certik berichtete, dass Openclaws Abhängigkeit vom „Skill-Scanning“ die Nutzer nicht ausreichend vor bösartigen Erweiterungen von Drittanbietern schützt.
- Wie funktioniert der Moderationsprozess von Openclaw? Openclaw nutzt einen mehrstufigen Moderationsprozess, der Tools wie Virustotal und einen Inkonsistenzdetektor einsetzt, um „Skills“ von Drittanbietern zu überprüfen.
- Was ist der kritische Fehler in Bezug auf ausstehende Scan-Ergebnisse? Skills können aktiv und installierbar bleiben, während Scan-Ergebnisse ausstehen, was ein Risiko darstellt, da Nutzer möglicherweise unwissentlich bösartige Erweiterungen installieren.
- Was sollten Nutzer tun, um ihre Daten auf Openclaw zu schützen? Nutzern wird empfohlen, Openclaw nur in Umgebungen mit geringem Wert zu verwenden, bis die Entwickler strengere Isolationsmaßnahmen implementieren.
