OpenClaw ist ein autonomer Agent, der Kommandos im Betriebssystem ausführen kann und über einen offenen Markt für Fähigkeiten Namen ClawHub agiert.

Welche Sicherheitsprobleme traten bei OpenClaw auf?

Über 135.000 Instanzen von OpenClaw waren exponiert, viele davon anfällig für Remote-Code-Ausführung und andere Sicherheitsrisiken.

Warum ist die Akzeptanz von OpenClaw ein Risiko für Unternehmen?

OpenClaw optimierte seine Benutzereinstellungen auf Akzeptanz, ohne die Sicherheitsrisiken zu internalisieren, was zu erheblichen Sicherheitsproblemen führen kann.

Was können Unternehmen tun, um sich zu schützen?

Unternehmen sollten sicherstellen, dass ein autonomes System nicht ohne angemessene Sicherheitsprotokolle und Überwachungen eingesetzt wird.

Welche Lehren können aus der OpenClaw-Katastrophe gezogen werden?

Die Katastrophe zeigt, wie wichtig es ist, Sicherheitskosten zu internalisieren und Risiken für Endbenutzer zu minimieren.

135.000 exponierte autonome Agenten und niemand im Krisenraum

Ende Januar 2026 durchsuchte ein Sicherheitsforscher das Internet mit Shodan, einem gängigen Erkennungswerkzeug, und fand fast 1.000 Installationen von OpenClaw, die öffentlich zugänglich waren, ohne Passwort, ohne Authentifizierung und ohne jedes Abwehrmechanismus. Es war nicht nötig, eine ausgeklügelte Schwachstelle auszunutzen: Man musste nur wissen, wo man suchen sollte. Von diesen offenen Zugängen aus hatte ein anderer Forscher Zugriff auf API-Schlüssel von Anthropic, Telegram-Bot-Tokens, Slack-Konten, Gesprächsprotokolle und führte Kommandos mit Administratorrechten aus. Wochen später veröffentlichte SecurityScorecard das volle Ausmaß der Katastrophe: mehr als 135.000 exponierte Instanzen von OpenClaw in 82 Ländern, von denen mehr als 50.000 anfällig für Remote-Code-Ausführung waren und über 53.000 mit vorherigen Sicherheitslücken verbunden waren.

Dies ist keine Geschichte über einen Softwarefehler. Es ist das Abbild eines Geschäftsmodells, das sein Wachstum auf einer gefährlichen Prämisse aufbaute: dass massive Akzeptanz und Sicherheit sequentielle Probleme sein könnten. Zuerst wachsen, dann schützen. Der Markt bewies mit unbarmherziger Präzision, dass diese Reihenfolge einen Preis hat, den der Entwickler nicht bezahlt.

Wenn das Flaggschiff-Produkt der Schlüssel zu deinem Haus ist

OpenClaw, zuvor als Clawdbot bekannt, zog den Markt mit einem konkreten Angebot an: einem autonomen Agenten, der Kommandos im Betriebssystem ausführen, Dateien verwalten, sich mit Messaging-Anwendungen verbinden und über einen offenen Markt für Fähigkeiten, genannt ClawHub, agieren konnte. Sein Alleinstellungsmerkmal war nicht die Benutzeroberfläche oder das zugrunde liegende Sprachmodell, sondern das Maß an Rechten, die es über das System des Benutzers erlangte. Nativer Zugriff auf die Shell. Direkte Integration mit gespeicherten Anmeldedaten. Reibungslose Konnektivität zu externen Diensten.

Diese Architektur mit maximalen Rechten, kombiniert mit Voreinstellungen, die blind in Lokalanfragen ohne Authentifizierung vertrauten, schuf eine beispiellose Angriffsfläche. Wenn diese Installationen hinter schlecht konfigurierten Reverse-Proxys standen, wurde die Verwaltungsoberfläche für jede externe Verbindung exponiert. Es war kein Benutzerfehler: Es war das erwartete Verhalten des Systems im Standardzustand.

Eine Prüfung, die Ende Januar 2026 durchgeführt wurde, als die Plattform noch als Clawdbot operierte, identifizierte 512 Schwachstellen, acht davon kritisch. Zu den dokumentierten Vektoren gehören: Eingabeverfälschungen durch Vorschauen von Links in Nachrichten, die es ermöglichen, Daten an von Angreifern kontrollierte Domains zu exfiltrieren, ohne dass der Benutzer auf etwas klicken musste; Ketten von Schwachstellen, die die vollständige Übernahme des Agenten von einer Webseite aus ermöglichten, ohne dass ein zusätzliches Plugin installiert werden musste; und das Fehlen von Begrenzungen bei Authentifizierungsversuchen, was den Zugriff durch Brute-Force-Angriffe erleichterte.

Zwischen dem 27. Januar und dem 1. Februar 2026, einem Zeitraum, den die Forscher intern "ClawHavoc" nannten, wurden mehr als 230 bösartige Erweiterungen in ClawHub und GitHub veröffentlicht und tausendfach heruntergeladen. Reco.ai bestätigte, dass 341 von 2.857 im Repository registrierten Fähigkeiten bösartig waren, was 12 % des Gesamtkatalogs ausmacht, entworfen, um Handels- und Finanzinstrumente zu imitieren und im Hintergrund Programme zur Diebstahl von Anmeldeinformationen, Seed-Phrasen von Krypto-Wallets und Browsersitzungsdaten zu installieren.

Der offene Markt als systemisches Risikovektor

ClawHub war auf dem Papier der Wettbewerbsvorteil von OpenClaw. Ein offenes Repository, in dem jeder Entwickler Fähigkeiten veröffentlichen konnte, die andere Benutzer mit einem Klick installieren würden. Das Modell reproduziert die Logik mobiler App-Marktplätze, mit einem strukturellen Unterschied, der es in Bezug auf Risiko unvergleichlich macht: Die Fähigkeiten von OpenClaw operieren nicht in einer isolierten Umgebung. Sie führen Kommandos direkt im Betriebssystem des Benutzers aus.

Als Cisco sein Analysetool auf einige dieser Fähigkeiten anwandte, fand es zwei mit maximaler Kritikalität und fünf mit hoher Schwere. Einige führten `curl`-Befehle aus, um Daten während scheinbar routinemäßiger Operationen an externe Server zu exfiltrieren. Andere verwendeten Eingabeverfälschungen, um die internen Sicherheitssysteme des Agenten zu umgehen. Kaspersky war in seiner Bewertung direkt: OpenClaw war in diesem Zustand für jede Verwendung unsicher.

Die nächstliegende Analogie ist nicht die eines Browsers mit bösartigen Erweiterungen. Es ist die eines Mitarbeiters mit vollständigem Zugriff auf alle Systeme eines Unternehmens, dem jeder Passant schriftliche Anweisungen geben kann, und der diesen Anweisungen folgen wird, da seine internen Regeln legitime von manipulierten Anweisungen nicht unterscheiden. Die Eingabeverfälschung verwandelt natürliche Sprache, die Benutzeroberfläche von OpenClaw, in einen Angriffsvektor. Und ein Markt ohne effektive Moderation verwandelt diesen Vektor in eine kriminaltechnische Infrastruktur, die bereit zum Hochskalieren ist.

Der CEO von Archestra.AI demonstrierte unter kontrollierten Bedingungen, wie eine E-Mail den Agenten dazu bringen konnte, private Schlüssel zu extrahieren. Ein Nutzer von Reddit replizierte das Ergebnis ohne spezifische Eingabeaufforderung. Oasis Security dokumentierte eine vollständige Kette von Schwachstellen, die eine stille Übernahme des Agenten von jeder Webseite ermöglichte, die als hochgradig kritisch eingestuft wurde, und innerhalb von 24 Stunden nach ihrer Offenlegung in der Version 2026.2.25 gepatcht wurde. CNCERT, die Cyber-Notfall-Behörde Chinas, gab formelle Warnungen heraus. Die chinesischen Behörden verboten OpenClaw auf Regierungscomputern, staatlichen Unternehmen und Geräten von Militärangehörigen.

Die Ökonomie des externalisierten Risikos

Hier wird die Analyse des Geschäftsmodells unangenehm. OpenClaw entwarf seine unsicheren Voreinstellungen nicht aus ästhetischer Nachlässigkeit. Sie wurden entwickelt, um die Installationsreibung zu minimieren und die Adoptionsgeschwindigkeit zu maximieren. Jeder zusätzliche Konfigurationsschritt im Onboarding-Prozess reduziert die Konversionsrate. Jede Entscheidung, die der Benutzer treffen muss, bevor er das Produkt nutzen kann, ist eine Gelegenheit zur Abwanderung. Diese Logik, aus der Sicht des Nutzerwachstums perfekt rational, überträgt die Kosten des Risikos auf diejenigen, die die geringste Fähigkeit haben, es zu verwalten: den Endbenutzer.

Die über 50.000 infizierten Instanzen, die anfällig für Remote-Code-Ausführung sind, stellen keinen Fehler der Benutzer dar. Sie sind das vorhersehbare Ergebnis eines Modells, das eine einzige Variable, die Akzeptanz, optimiert hat und alle anderen als Probleme des Ökosystems belassen hat. Die Unternehmen im Finanz- und Energiesektor, die CNCERT als besonders exponiert kennzeichnete, haben nicht bewusst entschieden, dieses Risiko zu akzeptieren. Sie haben es von einer Architektur geerbt, die sie niemals gefragt hat, ob sie bereit sind, es zu übernehmen.

Die tatsächlichen Kosten dieses externalisierten Risikos erscheinen nicht in der Bilanz von OpenClaw. Sie erscheinen in den Sicherheitsteams der Unternehmen, die den Agenten eingesetzt haben, in den Budgets für Incident Response, in den Daten von kompromittierten Kunden, in widerrufenen und regenerierten API-Schlüsseln und in den Stunden der forensischen Prüfung. Die hohe Akzeptanzgeschwindigkeit von OpenClaw wurde teilweise unfreiwillig von seinen eigenen Nutzern finanziert.

Dies ist nicht exklusiv für OpenClaw. Es ist das strukturelle Muster jeder Plattform, die die Verbreitung monetarisiert, ohne die Kosten der Zuverlässigkeit zu internalisieren. Märkte für offene Repositories, von Browsererweiterungen bis zu Codeteilen, haben wiederholt gezeigt, dass Moderation nicht kostenlos skaliert. Die 12 % bösartigen Fähigkeiten in ClawHub sind nicht eine statistische Anomalie; sie sind das vorhersehbare Ergebnis eines Systems ohne wirtschaftliche Anreize, sie zu erkennen und zurückzuziehen, bevor sie tausende von Downloads sammeln.

Maximale Privilegien, minimale Verantwortung

Autonome KI-Agenten stellen einen qualitativen Sprung gegenüber konversationellen Sprachmodellen dar. Ein Chatbot, der schlecht antwortet, generiert eine falsche Antwort. Ein autonomer Agent mit Zugriff auf das Betriebssystem, der unter manipulierten Anweisungen arbeitet, kann Dateien exfiltrieren, beliebigen Code ausführen, Daten unwiderruflich zerstören oder alle auf dem Gerät gespeicherten Anmeldedaten kompromittieren. Die Schadensoberfläche ist nicht proportional zur konventioneller Software.

Diese Asymmetrie zwischen Fähigkeit und Verantwortung ist die strategische Lücke, die kein Softwarepatch allein schließt. OpenClaw gab den CVE-2026-25253 am 29. Januar heraus, patched es am 30. in der Version 2026.1.29 und schloss die Kette von Oasis in der 2026.2.25 innerhalb von 24 Stunden. Die technische Reaktionsgeschwindigkeit war bemerkenswert. Aber die 135.000 exponierten Knoten aktualisieren sich nicht von selbst, und die bereits heruntergeladenen 341 bösartigen Fähigkeiten deinstallieren sich nicht mit einem Sicherheitsbulletin.

Unternehmen, die erwägen, autonome Agenten in ihren Betrieb zu implementieren, stehen vor einer architektonischen Entscheidung, nicht vor einer technologischen. Einem autonomen System Administratorrechte über kritische Infrastrukturen zu verleihen, ohne diese Fähigkeiten in einer isolierten Umgebung zu isolieren, ohne jede installierte Fähigkeit zu auditieren und ohne kontinuierliche Überwachung auf anomalem Verhalten ist, als würde man die operationale Kontrolle an ein System übergeben, dessen Oberfläche für Manipulation die natürliche Sprache ist. Und die natürliche Sprache hat keine Firewall.

Das Mandat für jedes C-Level, das diese Kategorie von Werkzeugen bewertet, ist klar: Das Geschäftsmodell eines Anbieters von autonomen Agenten muss explizit offenlegen, wie es die Kosten für die Sicherheit internalisiert, wer die Moderation des Marktplatzes bezahlt, welche Isolationsmechanismen standardmäßig aktiv sind und was passiert, wenn ein Agent unter manipulierter Anweisung agiert. Wenn diese Antworten nicht im Vertrag stehen, erscheinen sie im Budget für die Incident Response des Kunden. Die Führungskräfte, die diese Werkzeuge wie konventionelle Produktivitätssoftware implementieren, werden feststellen, dass der tatsächliche Preis der Autonomie von dem Angreifer festgelegt wird, nicht vom Anbieter.