Die weitreichende Integration von KI-Assistenten wie OpenClaw birgt laut der Cybersicherheitsfirma CertiK erhebliche Sicherheitsrisiken, die Nutzer unbefugten Aktionen, Datenpreisgaben, Systemkompromittierungen und geleerten Krypto-Wallets aussetzen.
OpenClaw ist ein selbstgehosteter KI-Agent, der sich in Messaging-Plattformen wie WhatsApp, Slack und Telegram integrieren lässt und autonom Aktionen auf den Computern der Nutzer ausführen kann, wie z.B. die Verwaltung von E-Mails, Kalendern und Dateien.
Nach Angaben von Openclaw.vps gibt es schätzungsweise rund 2 Millionen aktive monatliche Nutzer der Plattform. Eine McKinsey-Studie vom November ergab, dass 62 % der Befragten angaben, dass ihre Organisationen bereits mit KI-Agenten experimentierten.
CertiK warnt jedoch davor, dass es zu einem „primären Lieferketten-Angriffsvektor in großem Maßstab“ geworden ist.
OpenClaw entwickelte sich von einem Seitenprojekt namens Clawdbot, das im November 2025 gestartet wurde, zu über 300.000 GitHub-Sternen – einer Lesezeichen- oder „Gefällt mir“-Funktion auf der Entwicklerplattform –, was einen Popularitätsschub signalisiert, aber dabei ernsthafte „technische Sicherheitsschulden“ (security debt) angehäuft hat, so CertiK.
Innerhalb weniger Wochen nach dem Start identifizierte Bitsight jedoch 30.000 internet-exponierte Instanzen von OpenClaw, und Forscher von SecurityScorecard fanden 135.000 Instanzen in 82 Ländern, von denen 15.200 speziell für die Remote-Code-Ausführung anfällig waren.
OpenClaw ist auch zur „am aggressivsten geprüften KI-Agenten-Plattform aus Sicherheitssicht“ geworden, mit über 280 GitHub-Sicherheitshinweisen, 100 Common Vulnerabilities and Exposures (CVEs) und einer „Reihe von Angriffen auf Ökosystem-Ebene“ seit seinem Start im November, schrieben die CertiK-Forscher in einem mit Cointelegraph geteilten Bericht.
Da OpenClaw als Brücke zwischen externen Eingaben und lokaler Systemausführung fungiert, „führt es klassische Angriffsvektoren ein“, so die Forscher.
Dazu gehört das lokale Gateway-Hijacking, bei dem bösartige Websites oder Payloads die lokale Rechnerpräsenz des Agenten ausnutzen könnten, um sensible Nutzerdaten zu extrahieren oder unbefugte Befehle auszuführen.
Verwandt: SlowMist führt Web3-Sicherheits-Stack für autonome KI-Agenten ein
CertiK warnte vor den Gefahren von Plugins, die Kanäle, Tools, HTTP-Routen, Dienste und Anbieter hinzufügen könnten, während bösartige Fähigkeiten von lokalen oder Marktplatz-Quellen installiert werden könnten.
Im Gegensatz zu traditioneller Malware können „bösartige Fähigkeiten“ das Verhalten durch natürliche Sprache manipulieren und herkömmlichen Scans widerstehen.
„Einmal gestartet, kann die Malware sensible Informationen wie Passwörter und Zugangsdaten zu Kryptowährungs-Wallets exfiltrieren.“
Bösartige Backdoors könnten auch in legitimen funktionalen Codebasen versteckt sein, „wo sie scheinbar harmlose URLs abrufen, die letztendlich Shell-Befehle oder Malware-Payloads liefern“, fügten sie hinzu.
CertiK-Forscher erklärten gegenüber Cointelegraph, dass Angreifer bösartige Fähigkeiten strategisch in verschiedenen hochwertigen Kategorien platziert hätten, „einschließlich Dienstprogrammen für Phantom, Wallet-Trackern, Insider-Wallet-Findern, Polymarket-Tools und Google Workspace-Integrationen.“
„Sie haben ein bemerkenswert weites Netz über das Krypto-Ökosystem gespannt, wobei die primäre Nutzlast darauf ausgelegt war, eine große Anzahl von Browser-Erweiterungs-Wallets gleichzeitig anzugreifen, wie MetaMask, Phantom, Trust Wallet, Coinbase Wallet, OKX Wallet und viele andere“, sagten sie.
Die Forscher fügten hinzu, dass es eine „klare Überschneidung in der Vorgehensweise mit dem breiteren Krypto-Diebstahl-Ökosystem gab, wie Social Engineering, Köder mit gefälschten Dienstprogrammen, Diebstahl von Zugangsdaten und Wallet-orientiertes Phishing.“
„Das sind alles bekannte Vorgehensweisen aus dem Krypto-Drainer-Playbook, und wir haben sie hier gesehen.“
OpenClaw-Gründer Peter Steinberg, der kürzlich zu OpenAI gewechselt ist, sagte, sie würden an der Verbesserung der Sicherheit von OpenClaw arbeiten.
„Etwas, woran wir in den letzten zwei Monaten gearbeitet haben, ist Sicherheit. Die Dinge sind an dieser Front also viel besser“, sagte Steinberg am Montag auf der „ClawCon“-Veranstaltung in Tokio.
Anfang dieses Monats berichtete die Cybersicherheitsfirma OX Security über eine Phishing-Kampagne, die gefälschte GitHub-Beiträge und einen gefälschten „CLAW“-Token nutzte, um OpenClaw-Entwickler dazu zu verleiten, Krypto-Wallets zu verbinden.
CertiK riet gewöhnlichen Nutzern, „die keine Sicherheitsexperten, Entwickler oder erfahrene Geeks sind“, OpenClaw nicht von Grund auf zu installieren und zu verwenden, sondern auf „reifere, gehärtete und handhabbarere Versionen“ zu warten.
Das Cybersicherheitsunternehmen SlowMist führte Anfang März ein Sicherheits-Framework für KI-Agenten ein und bezeichnete es als „digitale Festung“, um sich gegen Risiken zu verteidigen, die mit autonomen Systemen einhergehen, die Onchain-Aktionen und digitale Assets verwalten.
Magazin: Banken wollen Vietnams Krypto-Börsen betreiben, Boyaas 70-Mio-Dollar-BTC-Plan: Asia Express