Stand: 8. Februar 2026
Das Wichtigste in Kürze
- Über 300 OpenClaw-Skills enthielten Trojaner und Infostealer, die Daten aus Browsern und Krypto-Wallets stehlen
- Ein einzelner Nutzer (hightower6eu) veröffentlichte die verseuchten Skills auf ClawHub
- OpenClaw reagiert mit VirusTotal-Partnerschaft: Automatisches Scanning aller Skills mit KI-gestützter Analyse
- Weitere Schwachstellen wie CVE-2026-25253 (CVSS 8.8) und „OpenDoor“-Hintertüren zeigen fundamentale Sicherheitsprobleme
- Experten warnen: Prompt-Injection und Code-Smuggling bleiben ungelöste Risiken bei autonomen KI-Agenten
Hunderte Skills mit versteckten Trojanern entdeckt
Der selbst gehostete KI-Agent OpenClaw steht erneut im Fokus von Sicherheitsforschern. Wie VirusTotal berichtet, haben Angreifer über 300 Skills auf der Plattform ClawHub mit Schadsoftware verseucht. Die betroffenen Erweiterungen enthielten oft keinen direkten Schadcode, sondern leiteten den Agenten an, externe Dateien oder Skripte herunterzuladen und auszuführen.
Besonders brisant: Allein der Nutzer „hightower6eu“ veröffentlichte mehr als 300 verseuchte Skills. Darunter befanden sich bekannte Trojaner wie Atomic Stealer für macOS sowie Windows-Infostealer, die gezielt Daten aus Webbrowsern und Krypto-Wallets extrahieren. Bei einer Analyse von über 3.000 OpenClaw-Skills durch VirusTotal kam das Ausmaß der Kompromittierung ans Licht.
„Erweiterungen, die das Ausführen externer Befehle verlangen, sollten kritisch geprüft werden“ – VirusTotal-Empfehlung zu unsicheren Skills
OpenClaw und VirusTotal schließen Sicherheitspartnerschaft
Als Reaktion auf die Vorfälle hat OpenClaw-Gründer Peter Steinberger eine Partnerschaft mit VirusTotal angekündigt, wie The Decoder meldet. Alle auf ClawHub veröffentlichten Skills werden nun automatisch gescannt. Die Analyse nutzt VirusTotals KI-gestützte Funktion „Code Insight“ (basierend auf Googles Gemini), die das tatsächliche Verhalten eines Skills aus Sicherheitsperspektive untersucht.
Das System kategorisiert Skills in drei Stufen: Als harmlos eingestufte werden automatisch freigegeben, verdächtige mit einer Warnung versehen und als schädlich erkannte sofort gesperrt. Zusätzlich werden alle aktiven Skills täglich erneut geprüft. Steinberger räumt jedoch ein: „Sicherheit benötigt mehrere Schutzschichten. Das ist eine davon. Weitere werden folgen.“
Weitere kritische Schwachstellen in OpenClaw entdeckt
Die verseuchten Skills sind nicht das einzige Sicherheitsproblem. Wie das Cyber-Sicherheitsportal Baden-Württemberg dokumentiert, wurde die Schwachstelle CVE-2026-25253 mit einem CVSS-Wert von 8.8 am 31. Januar 2026 gepatcht. Diese ermöglichte Remote Code Execution (RCE).
Besonders besorgniserregend ist die von Sicherheitsforschern entdeckte „OpenDoor„-Hintertür. Wie The Decoder berichtet, können manipulierte Dokumente – etwa über einen Telegram-Bot – persistenten Schadcode in der SOUL.md-Datei platzieren. Ein ZeroLeaks-Test ergab erschreckende Werte: 84 Prozent Extraktionsrate und 91 Prozent Injection-Erfolgsrate.
Weitere Probleme umfassen Code-Injection in OpenClaw/Moltbot sowie über 954 offene Instanzen ohne Authentifizierung, wie Sicher-im-Netz.de dokumentiert.
Warum autonome KI-Agenten besonders gefährdet sind
OpenClaw ist ein selbst gehosteter Open-Source-KI-Agent, der auf lokalen Rechnern läuft und echte Aktionen ausführt: Shell-Befehle, Dateizugriffe, Netzwerkanfragen. Diese hohen Berechtigungen machen ihn besonders anfällig für Angriffe. Anders als bei Chatbots greifen Agenten direkt ins System ein, was RCE, Persistenz und Lateral Movement erleichtert.
„Je mehr Autonomie und Systemrechte eine KI besitzt, desto größer ist das potenzielle Schadensausmaß“ – Sicherheitsexperten zu agentischen Risiken
Die natürliche Sprachverarbeitung von KI-Modellen ermöglicht neuartige Angriffsvektoren wie Prompt-Injection, bei der bösartige Befehle in E-Mails oder Dokumenten versteckt werden. Bisherige Vorfälle zeigen: Ungesicherte API-Keys und fehlende Eingabevalidierung gehören zu den häufigsten Schwachstellen, wie Analysen belegen.
Sicherheitsforscher formulieren es deutlich: „Wenn persönliche KI-Assistenten auf unseren Endgeräten leben sollen, ist ein Kompromiss bei der Sicherheit keine Option.“
Was bedeutet das für die KI-Branche?
Der Fall unterstreicht fundamentale Sicherheitslücken bei autonomen KI-Agenten. Trotz über 100.000 GitHub-Stars für OpenClaw zeigt sich: Selbst-Hosting birgt erhebliche Risiken, etwa durch offene Ports und unzureichende Absicherung. Die automatisierten Scans von VirusTotal sind ein Fortschritt, decken aber keine inhärenten Schwächen von Large Language Models ab.
Experten fordern strengere Validierung, Sandboxing und Trennung von Kontexten. OpenClaw hat mit Jamieson O’Reilly, Gründer von Dvuln, einen leitenden Sicherheitsberater eingestellt und verspricht: „Wir wollen OpenClaw zur sichersten verfügbaren KI-Agenten-Plattform machen.“
Doch eine wirksame Absicherung autonomer KI-Agenten bleibt eine der größten Herausforderungen der Branche. Die aktuellen Vorfälle mahnen zur Vorsicht bei der Nutzung selbst gehosteter Agenten mit weitreichenden Systemrechten.
Quellen
- The Decoder – Hunderte verseuchte Skills: Angreifer schleusen Trojaner in KI-Agent OpenClaw ein
- All About Security – OpenClaw-Skills als neuer Malware-Verteilweg: Erkenntnisse von VirusTotal
- Cybersicherheit Baden-Württemberg – Sicherheitslücke OpenClaw
- Sicher im Netz – KI-Bot OpenClaw/Moltbot: Hochriskante Sicherheitslücke ermöglicht Codeschmuggel
- The Decoder – OpenDoor statt OpenClaw: Sicherheitsforscher entlarven gravierende Sicherheitslücke
Fazit
Die Entdeckung hunderter verseuchter OpenClaw-Skills markiert einen Wendepunkt für die Sicherheit autonomer KI-Agenten. Während die Partnerschaft mit VirusTotal ein wichtiger Schritt ist, zeigen die anhaltenden Schwachstellen: Prompt-Injection, Code-Smuggling und Supply-Chain-Angriffe bleiben ungelöste Herausforderungen. Für Nutzer gilt: Vorsicht bei Skills, die externe Befehle ausführen – und regelmäßige Updates sind Pflicht. Die KI-Branche muss Standards entwickeln, bevor agentische Systeme massentauglich werden können.