Kritische Sicherheitskrise bei OpenClaw: 'ClawHavoc' Supply-Chain-Angriff
newsnewsopenclawsecurityagent-skillsopen-sourceself-hostingai-agents
trending_upTrend: news

Kritische Sicherheitskrise bei OpenClaw: 'ClawHavoc' Supply-Chain-Angriff

calendar_month 8. Mai 2026 update Aktualisiert: 27. Mai 2026

🔄 Update — 27. Mai 2026: Dynamik verschiebt sich hin zu Self-Hosted-Agents und Sicherheits-Härtung

OpenClaw zeigt derzeit eine verstärkte Dynamik in den Bereichen selbstgehostete Assistenten, Integration von Coding-Agents und Sicherheits-Härtung. Dieser Trend deutet auf eine breite Akzeptanz und intensive Weiterentwicklung des Ökosystems hin, wobei der Fokus zunehmend auf Kontrolle und Sicherheit liegt.

Was ist neu?

  • Fokus auf Self-Hosting: Neue Anleitungen und Tools (z.B. Petronella Tech) konzentrieren sich auf das Verpacken von OpenClaw für den Betrieb in eigenen Infrastrukturen.
  • Ecosystem-Signale: Aktivitäten auf GitHub, OpenRouter und Product Hunt zeigen, dass OpenClaw nicht mehr nur ein Einzelprodukt ist, sondern ein wachsendes Ökosystem aus Erweiterungen und Benchmarks.
  • Sicherheits-Audits: DeepInfra und andere Plattformen veröffentlichen detaillierte Analysen zu Prompt-Injection und Supply-Chain-Risiken, was zu einer verstärkten Härtung der Installationen führt.

Warum es den Artikel ergänzt

Diese Entwicklung zeigt, dass die Community aktiv auf die im Artikel beschriebenen Sicherheitskrisen reagiert, indem sie auf Self-Hosting und verbesserte Sicherheitsstandards setzt, anstatt das Framework aufzugeben.

🔄 Update — 26. Mai 2026: Virales Wachstum trifft auf verstärkte Sicherheitskritik

OpenClaw erlebt derzeit eine paradoxe Phase: Während die Nutzerzahlen und das virale Interesse auf Plattformen wie GitHub und YouTube massiv steigen, nehmen gleichzeitig die Warnungen vor Sicherheits- und Datenschutzrisiken zu. Die wachsende Popularität von Tutorials steht im direkten Kontrast zu neuen Forschungsberichten und kritischen Diskussionen in Fachforen.

Was ist neu?

  • Explosives Open-Source-Wachstum: Das Haupt-Repository und ergänzende Ressourcen wie “Awesome-OpenClaw-Skills” verzeichnen einen starken Anstieg an Sternen und Forks.
  • Zunehmende Sicherheitsbedenken: Neue Analysen auf SecureFlag und arXiv sowie Diskussionen auf Reddit beleuchten tiefergehende architektonische Schwachstellen bei der Ausführung in dedizierten Umgebungen.
  • Multimediale Präsenz: Tutorials auf YouTube und Roadmap-Ankündigungen auf Facebook treiben die Adoption voran, während die Sicherheits-Community zur Vorsicht mahnt.

Warum es den Artikel ergänzt

Dieser Trend unterstreicht die im Artikel beschriebene Spannung zwischen schneller technologischer Adoption und den damit verbundenen Sicherheitsrisiken, die nun eine breitere Öffentlichkeit erreichen.

🔄 Update — 20. Mai 2026: OpenClaw “Claw Chain” Schwachstellen gefährden 245.000+ KI-Agenten-Server

Forscher haben vier verkettete Schwachstellen (“Claw Chain”) in OpenClaw entdeckt, die Sandbox-Escapes und Backdoor-Installationen ermöglichen. Diese Sicherheitslücken betreffen over 245.000 öffentlich erreichbare Server und verschärfen die ohnehin kritische Sicherheitslage des Frameworks.

Was ist neu?

  • Claw Chain Schwachstellen: Vier verkettete Lücken ermöglichen Sandbox-Escape, Backdoor-Delivery, Datendiebstahl und Privilege Escalation.
  • Massive Exponierung: Schätzungsweise 245.000 öffentliche OpenClaw-Server sind direkt angreifbar.
  • Anhaltende Sicherheitsprobleme: Bereits im April 2026 wurden 13 neue CVEs behoben, was auf strukturelle Mängel in der Infrastruktur hindeutet.

Warum es den Artikel ergänzt

Diese Entdeckung bestätigt die im ursprünglichen Artikel analysierten Risiken von OpenClaw und zeigt, dass die Bedrohungslage durch neue, komplexe Angriffsketten (“Chains”) weiter eskaliert.

Kritische Sicherheitskrise bei OpenClaw: ‘ClawHavoc’ Supply-Chain-Angriff

Zusammenfassung

Das OpenClaw-Ökosystem (ehemals Moltbot), eines der populärsten Open-Source-Frameworks für KI-Agenten, kämpft derzeit mit einer katastrophalen Sicherheitskrise. Eine koordinierte Supply-Chain-Kampagne namens “ClawHavoc” hat das ClawHub-Skill-Registry mit über 1.000 bösartigen Paketen vergiftet. In Kombination mit einer kritischen Remote Code Execution (RCE)-Schwachstelle (CVE-2026-25253) sind über 135.000 im Internet exponierte Instanzen gefährdet. Die Krise hat zu einem massiven Vertrauensverlust geführt, woraufhin immer mehr Entwickler zu sichereren Alternativen wie dem Hermes Agent von Nous Research abwandern.

Was passiert ist

Im Februar 2026 identifizierten Sicherheitsforscher eine massive Welle bösartiger Aktivitäten gegen das OpenClaw-Ökosystem. Die “ClawHavoc”-Kampagne beinhaltete den automatisierten Upload von 824 bis 1.184 vergifteten Skills in das offizielle ClawHub-Registry. Ein einzelner Akteur, der unter dem Pseudonym “hightower6eu” agierte, war für einen Großteil dieser Uploads verantwortlich.

Diese bösartigen Skills waren als legitime Erweiterungen getarnt, enthielten jedoch Payloads wie den Atomic macOS Stealer (AMOS) und maßgeschneiderte Trojaner. Gleichzeitig wurde ein kritischer Logikfehler in der OpenClaw Control UI (CVE-2026-25253) entdeckt. Dieser ermöglichte es Angreifern, Authentifizierungs-Token von Benutzern zu exfiltrieren und mit nur einem Klick die volle Fernsteuerung lokaler Agent-Instanzen zu übernehmen.

Warum es wichtig ist

Dieses Ereignis markiert den ersten großen Supply-Chain-Angriff, der speziell auf das aufstrebende Ökosystem für agentische KI abzielt. Die weite Verbreitung von OpenClaw (über 135.000 Sterne auf GitHub) bedeutet, dass die Auswirkungen immens sind. Für Entwickler und Unternehmen verdeutlicht diese Krise mehrere „tödliche“ Designfehler in der ersten Generation von KI-Agenten-Frameworks:

  • Speicherung von Zugangsdaten im Klartext: API-Keys und OAuth-Token werden in unverschlüsselten Markdown- und JSON-Dateien gespeichert.
  • Ungeprüfte Skill-Registries: Es fehlt an automatisierten Scans oder Verifizierungen für von der Community beigesteuerte Tools.
  • Memory Poisoning: Angreifer können bösartige Anweisungen in den persistenten Speicher eines Agenten injizieren und so langfristige Verhaltensbedrohungen schaffen.

Belege

  • Registry-Vergiftung: 824 bis 1.184 bösartige Skills in ClawHub identifiziert.
  • CVE-2026-25253: Eine Schwachstelle mit einem CVSS-Score von 8.8, die in Version 2026.1.29 behoben wurde.
  • Malware-Payloads: Verifizierter Einsatz von AMOS und Trojan/OpenClaw.PolySkill.
  • Exponierung: Über 135.000 OpenClaw-Instanzen wurden via Censys und Bitsight im öffentlichen Internet gefunden.
  • Marktverschiebung: Zunehmende Berichte in sozialen Medien (Product Hunt, YouTube, ofox.ai) über eine Migration zum Hermes Agent.

Analyse

Die OpenClaw-Krise ist ein Wendepunkt für die Sicherheit agentischer KI. Sie zeigt, dass der „Move fast and break things“-Ansatz bei der Entwicklung von Agenten nicht länger tragbar ist. Das Kernproblem ist nicht nur ein einzelner Bug, sondern die architektonische Abhängigkeit von Vertrauen in einem Ökosystem, das zu groß geworden ist, um sich selbst zu kontrollieren.

Die „ClawHavoc“-Kampagne nutzte ausgefeiltes Social Engineering, wie professionell wirkende Dokumentationen und „ClickFix“-Taktiken, um die Skepsis der Entwickler zu umgehen. Dies deutet darauf hin, dass Angreifer KI-Agenten mittlerweile als hochwertige Ziele für das Sammeln von Zugangsdaten und die Seitwärtsbewegung (Lateral Movement) in Unternehmensnetzwerken betrachten.

Das schnelle Aufkommen des Hermes Agent als primäre Alternative ist bezeichnend. Durch die Implementierung von „Defense-in-Depth“-Funktionen wie Container-Isolierung und Human-in-the-Loop-Freigaben für Befehle positioniert sich der Hermes Agent als der „Enterprise-Grade“ Open-Source-Nachfolger von OpenClaw.

Praktische Empfehlungen

Wenn Sie derzeit OpenClaw verwenden, ist sofortiges Handeln erforderlich:

  1. Sofort aktualisieren: Stellen Sie sicher, dass Sie Version 2026.1.29 oder neuer verwenden, um CVE-2026-25253 zu beheben.
  2. Skills auditieren: Überprüfen Sie jeden aus ClawHub installierten Skill manuell. Entfernen Sie alle Skills, die nicht von vertrauenswürdigen Maintainern stammen.
  3. Zugangsdaten rotieren: Ändern Sie alle API-Keys (OpenAI, Anthropic usw.) und SSH-Schlüssel, auf die die OpenClaw-Umgebung Zugriff hatte.
  4. Deployments absichern: Binden Sie Ihr Gateway an localhost und führen Sie den Agenten in einem isolierten Container als Nicht-Root-Benutzer aus.
  5. Alternativen prüfen: Erwägen Sie die Migration zu Frameworks wie dem Hermes Agent, die standardmäßig eine bessere Sicherheitsisolierung bieten.

Offene Fragen

  • Werden die OpenClaw-Maintainer eine „verifizierte“ Ebene für das ClawHub-Registry einführen?
  • Inwieweit wurde der „Moltbook“-Leak (35k E-Mails, 1,5 Mio. Token) genutzt, um die Anfangsphasen von ClawHavoc zu erleichtern?
  • Wird diese Krise zu einer dauerhaften Fragmentierung des Open-Source-Agenten-Ökosystems in Richtung „geschlossener„ oder streng geprüfter Marktplätze führen?

Quellen

  1. Claw Chain: OpenClaw Flaws Allow Sandbox Escape, Backdoor Delivery
  2. Four New OpenClaw Vulnerabilities: When AI Agents Become the Attackers’ Execution Layer
  3. Four OpenClaw Flaws Enable Data Theft, Privilege Escalation, and Persistence
  4. OpenClaw Chain Vulnerabilities Expose Public AI Agent Servers to Attack
  5. OpenClaw Chain Vulnerabilities Expose Public AI Agent Servers to Attack
  6. OpenClaw April 2026 New CVEs & Security Patch Guide
  7. AI Agent Security: Lessons from the OpenClaw Exploits - SecureFlag
  8. OpenClaw — Personal AI Assistant - GitHub
  9. OpenClaw Security Risks Discussion - Reddit
  10. OpenClaw Security Roadmap Announcement - Facebook