Sicherheitsrisiko OpenClaw: Über 230 bösartige KI-Skills verbreiten Info-Stealer
Eine großflächige Kampagne missbraucht das OpenClaw-Register zur Verbreitung von Info-Stealern. Getarnt als Finanz-Tools schleusen manipulierte Skills Schadsoftware ein, die sensible Daten unter Windows und macOS abgreift. Vorsicht ist bei Erweiterun
Neustadt an der Weinstraße, 04.02.2026 (PresseBox) - Die rasante Entwicklung von Künstlicher Intelligenz hat in jüngster Zeit zur Entstehung zahlreicher innovativer Werkzeuge geführt, die versprechen, unseren Alltag erheblich zu erleichtern. Eines dieser Projekte, das unter den Namen MoltBot, ClawdBot und schließlich OpenClaw bekannt wurde, hat jedoch unlängst für Schlagzeilen in der Cybersicherheits-Community gesorgt. Während OpenClaw als Open-Source-KI-Assistent mit lokaler Datenspeicherung und vielfältigen Integrationsmöglichkeiten konzipiert ist, zeigt ein aktueller Bericht von BleepingComputer, wie schnell solche Plattformen von Kriminellen missbraucht werden können. Innerhalb von weniger als einer Woche wurden mehr als 230 bösartige Datenpakete, sogenannte Skills, auf dem offiziellen Register des Tools sowie auf GitHub veröffentlicht. Diese Vorfälle verdeutlichen ein wachsendes Problem: Die Plattformen wachsen oft schneller als die Sicherheitsmechanismen, die sie schützen sollen.
Die Angreifer nutzen dabei eine raffinierte Methode von Social Engineering, um Nutzer zur Installation von Schadsoftware zu verleiten. Die bösartigen Skills geben sich als legitime Hilfsmittel aus, etwa für den automatisierten Kryptohandel, Finanzanalysen oder die Verwaltung von Social-Media-Inhalten. Um Vertrauen zu erwecken, sind diese Pakete oft mit einer umfangreichen Dokumentation versehen, die täuschend echt wirkt. Ein zentraler Bestandteil dieser Täuschung ist ein angebliches Hilfsprogramm namens AuthTool, das in der Dokumentation als zwingend notwendige Voraussetzung für das Funktionieren des jeweiligen Skills angepriesen wird. Folgt der Anwender den Anweisungen zur Installation dieses Tools, setzt er eine Infektionskette in Gang, die an bekannte ClickFix-Angriffe erinnert, denn in Wahrheit verbirgt sich hinter dem AuthTool ein Mechanismus zur Installation von Passwort-Stealern und anderer hochgradig gefährlicher Malware.
Technisch gesehen unterscheidet sich die Vorgehensweise je nach Betriebssystem des Opfers. Auf macOS-Systemen erscheint die Schadsoftware oft als Base64-kodierter Shell-Befehl, der einen Payload von einem externen Server nachlädt. Dabei handelt es sich häufig um Varianten des NovaStealers, der gezielt Sicherheitsmechanismen wie den Gatekeeper von Apple umgeht, indem er Quarantäne-Attribute löscht und weitreichende Dateizugriffsrechte anfordert. Unter Windows hingegen wird meist ein passwortgeschütztes ZIP-Archiv heruntergeladen und ausgeführt, um Antiviren-Scanner zu täuschen. Das Ziel dieser Angriffe ist der Diebstahl sensibler Informationen: Von API-Schlüsseln für Kryptobörsen über Browser-Passwörter und SSH-Zugangsdaten bis hin zu privaten Schlüsseln für Wallets und Zugangsdaten für Cloud-Dienste wird alles abgegriffen, was für Cyberkriminelle von Wert sein könnte. Besonders brisant ist, dass die Malware auch gezielt nach Umgebungsvariablen in .env-Dateien sucht, die oft unverschlüsselte Daten für Softwareentwicklungen enthalten.
Analysen von Sicherheitsforschern wie Jamieson O'Reilly und Organisationen wie Koi Security zeigen das enorme Ausmaß dieser Kampagne. Teilweise wurden über 340 bösartige Skills identifiziert, die offensichtlich von einer einzigen Quelle oder Kampagne stammen. Viele dieser Pakete sind nahezu identische Klone mit zufällig generierten Namen, die darauf abzielen, in den Suchergebnissen des Registers oben zu erscheinen. Einige dieser gefälschten Werkzeuge wurden bereits tausendfach heruntergeladen, bevor sie als Bedrohung erkannt wurden. Der Erfinder von OpenClaw, Peter Steinberger, räumte gegenüber der Fachwelt ein, dass es derzeit unmöglich sei, die enorme Flut an neu eingereichten Skills manuell zu prüfen. Damit liegt die Verantwortung für die Sicherheit allein beim Endnutzer, was in einem so komplexen Umfeld eine erhebliche Hürde darstellt.
Um sich vor solchen Bedrohungen zu schützen, ist ein mehrstufiger Sicherheitsansatz unerlässlich. Experten raten dringend dazu, KI-Assistenten, die tiefgreifende Systemrechte verlangen, in isolierten virtuellen Maschinen zu betreiben. Zudem sollten Berechtigungen restriktiv vergeben und der Netzwerkverkehr genau überwacht werden. Es ist zudem ratsam, spezialisierte Scanner zu verwenden, die URLs von Skills auf bekannte Signaturen von Schadcode prüfen, bevor man diese in die eigene Arbeitsumgebung integriert. Der Fall MoltBot bzw. OpenClaw ist ein mahnendes Beispiel dafür, dass im Zeitalter der KI-gestützten Automatisierung nicht nur die Möglichkeiten, sondern auch die Risiken exponentiell zunehmen. Skepsis gegenüber Drittanbieter-Erweiterungen bleibt somit das wichtigste Werkzeug im Arsenal jedes sicherheitsbewussten Internetnutzers.
