Sicherheitsforscher warnen davor, dass das schnell wachsende Ökosystem des selbstgehosteten KI-Assistenten OpenClaw (früher bekannt als Clawdbot oder Moltbot) zu einem neuen Ziel für die Verbreitung von Schadsoftware geworden ist. Laut einem Bericht von OpenSourceMalware wurden zwischen dem 27. und 29. Januar mindestens 14 bösartige „Skills“ auf die ClawHub-Plattform hochgeladen. Diese schädlichen Erweiterungen geben vor, Tools für den Kryptowährungshandel oder die Wallet-Automatisierung zu sein, um Nutzer zu täuschen.
OpenClaw-Nutzer in Gefahr: 14 Schadprogramme entdeckt
Die betroffenen Skills wurden auf dem öffentlichen Register ClawHub gehostet, das OpenClaw-Nutzern das Finden und Installieren von Drittanbieter-Erweiterungen erleichtern soll. Skills in diesem Ökosystem sind keine isolierten Sandbox-Skripte; stattdessen fungieren sie nach der Installation und Aktivierung als ausführbare Code-Ordner, die direkt mit dem lokalen Dateisystem interagieren und auf Netzwerkressourcen zugreifen können. Dies stellt ein erhebliches Risiko für die Systemsicherheit dar.
Analysen zeigen, dass die bösartigen Skills sowohl Windows- als auch macOS-Nutzer angreifen und auf Social-Engineering-Methoden setzen. In vielen Fällen wurden Nutzer angewiesen, im Rahmen des „Installationsprozesses“ Terminalbefehle mit verschleierten Zeichen zu kopieren und einzufügen. Dies ist eine gängige Technik von Bedrohungsakteuren, um Skripte von Remote-Servern abzurufen und auszuführen, mit dem Ziel, Browserdaten und Informationen zu Kryptowährungs-Wallets zu stehlen.
Einer der entdeckten schädlichen Skills erschien auf der Startseite von ClawHub, bevor er entfernt wurde, was die Wahrscheinlichkeit einer versehentlichen Installation massiv erhöhte. Ein Nutzer berichtete, dass er aufgefordert wurde, einen einzeiligen Befehl auszuführen, der Code von einem externen Server nachlädt. Während dies bei erfahrenen Entwicklern sofort die Alarmglocken läuten lässt, können ahnungslose Durchschnittsnutzer leicht in die Falle gelockt werden.
Mit dem Aufstieg KI-gestützter Agenten-Tools ist mit einer Zunahme solcher Angriffe zu rechnen. Der größte Vorteil von OpenClaw ist die Fähigkeit, Aufgaben wie Dateizugriff und Befehlsausführung im Namen des Nutzers zu übernehmen. Diese Funktionalität kann jedoch Sicherheitslücken schaffen, wenn Drittanbieter-Code hinzugefügt wird. Die Sicherheitsdokumentation von OpenClaw betont ausdrücklich, dass diese Skills als vertrauenswürdiger Code behandelt werden müssen und ihre Installation der Erteilung lokaler Ausführungsrechte gleichkommt.
Dies ist nicht der erste Versuch, die Popularität von OpenClaw auszunutzen. Kürzlich wurde eine gefälschte Visual Studio Code-Erweiterung entdeckt, die den Assistenten imitierte. Zudem hat die mehrfache Umbenennung des Projekts – von Clawdbot über Moltbot zu OpenClaw – die Situation verkompliziert, da Angreifer verschiedene Namen für Social Engineering nutzen können. Bis stärkere Moderations- oder Verifizierungssysteme eingeführt werden, sollten Nutzer, die Skills aus öffentlichen Registern beziehen, den Code sehr sorgfältig prüfen.
