OpenClaw: Die Sicherheitskrise der KI-Agenten

5

Die schnelle Einführung von KI-Agenten wie OpenClaw hat die Sicherheitsvorkehrungen überholt und kritische Schwachstellen in Unternehmenssystemen geschaffen. Dies ist kein theoretisches Risiko; Angreifer nutzen diese Lücken bereits aus und umgehen bestehende Sicherheitsmaßnahmen mit alarmierender Leichtigkeit. Das Kernproblem: Aktuelle Sicherheits-Stacks behandeln Agenten als vertrauenswürdige Komponenten und erkennen nicht, dass böswillige Absichten in Bedeutungen und nicht nur in binären Mustern kodiert werden können.

Der stille Bruch

Die Architektur von OpenClaw ermöglicht es Angreifern, Anweisungen in scheinbar harmlose Kommunikationen einzubetten, beispielsweise in weitergeleitete E-Mails. Ein Agent, der seine sanktionierten Berechtigungen ausführt, führt dann diese Anweisungen aus, exfiltriert Anmeldeinformationen oder führt nicht autorisierte Aktionen durch, ohne Warnungen auszulösen. Firewalls protokollieren normalen HTTP-Verkehr, EDR meldet Standardprozessverhalten und Identity and Access Management (IAM) erkennt nichts Ungewöhnliches. Der Verstoß erfolgt innerhalb der Grenzen des etablierten Vertrauens, wodurch herkömmliche Abwehrmaßnahmen wirkungslos werden.

Das ist kein Fehler; Es handelt sich um einen grundlegenden Konstruktionsfehler. Die Geschwindigkeit der Bereitstellung von OpenClaw (sechs Verteidigungstools wurden in 14 Tagen erstellt, sind aber immer noch anfällig) unterstreicht die Herausforderung. Anfang 2026 nutzen bereits rund 22 % der Unternehmensmitarbeiter OpenClaw ohne IT-Genehmigung, wobei innerhalb von zwei Wochen über 30.000 öffentlich zugängliche Instanzen entdeckt wurden. Dieser Schatteneinsatz schafft eine riesige, unkontrollierte Angriffsfläche.

Die drei unlösbaren Lücken

Die gefährlichsten Schwachstellen lassen sich in drei Kategorien einteilen:

  1. Semantische Exfiltration zur Laufzeit: Angriffe verbergen bösartiges Verhalten in der Bedeutung von Anweisungen und nicht in erkennbaren Codemustern. Gegenwärtige Verteidigungsmaßnahmen können Absichten nicht interpretieren.
  2. Agentenübergreifender Kontextverlust: Ein kompromittierter Agent kann bösartige Eingabeaufforderungen einschleusen, die Entscheidungen im gesamten Workflow verfälschen und so stillschweigend andere Agenten infizieren.
  3. Keine gegenseitige Authentifizierung: Wenn Agenten Aufgaben aneinander oder an externe Server delegieren, erfolgt keine Identitätsüberprüfung. Ein kompromittierter Agent erbt das Vertrauen aller Agenten, mit denen er interagiert.

Diese Lücken sind nicht nur theoretisch; Forscher haben gezeigt, wie ein Angreifer Sleeper-Payloads einbetten kann, die Wochen später aktiviert werden, und dabei den unkontrollierten Kontextfluss zwischen Agenten ausnutzt. Das Kernproblem besteht darin, dass Agenten als vertrauenswürdige Vermittler behandelt werden, obwohl sie leicht kompromittiert werden können.

Das Problem beheben: Was wurde getan?

Die Sicherheitsgemeinschaft hat mit einer Mischung aus Notlösungen und architektonischen Überarbeitungen reagiert.

  • ClawSec (Prompt Security): Umschließt Agenten eine kontinuierliche Überprüfung und erzwingt Zero-Trust-Ausgang.
  • VirusTotal Integration: Scannt ClawHub-Skills auf bekannte Schadpakete.
  • IronClaw (NEAR AI): Führt nicht vertrauenswürdige Tools in WebAssembly-Sandboxes mit eingeschränkten Berechtigungen aus.
  • Carapace: Implementiert Fail-Closed-Authentifizierung und Subprozess-Sandboxing auf Betriebssystemebene.
  • NanoClaw: Reduziert die Codebasis auf 500 Zeilen TypeScript und führt jede Sitzung in einem isolierten Docker-Container aus.

Obwohl diese Tools einige Risiken mindern, lösen sie nicht das grundlegende Problem: Agenten arbeiten mit übermäßigem Vertrauen und unzureichender Isolation.

Die Leistungsspezifikation

Um die Grundursache anzugehen, drängt die Sicherheitsgemeinschaft auf eine Kompetenzspezifikation, die Agenten wie ausführbare Dateien behandelt. Dieser von Anthropic und Vercel angeführte Vorschlag erfordert explizite, für den Benutzer sichtbare Leistungsdeklarationen vor der Ausführung, ähnlich wie bei Berechtigungen für mobile Apps. Ziel ist es, Transparenz und Rechenschaftspflicht zu erzwingen und es böswilligen Fähigkeiten zu erschweren, unentdeckt zu agieren.

Was jetzt zu tun ist: Sofortige Schritte

Die Realität ist, dass OpenClaw wahrscheinlich bereits in vielen Umgebungen vorhanden ist. Die folgenden Schritte können unmittelbare Risiken mindern:

  1. Inventar: Scannen Sie mithilfe von WebSocket-Verkehr (Port 18789) und mDNS-Broadcasts (Port 5353) nach OpenClaw-Instanzen. Überwachen Sie Authentifizierungsprotokolle auf verdächtige Aktivitäten.
  2. Isolieren: Beschränken Sie Agenten auf Container-basierte Bereitstellungen mit eingeschränkten Anmeldeinformationen und Tools auf der Whitelist.
  3. Überprüfen: Stellen Sie ClawSec bereit und scannen Sie vor der Installation alle ClawHub-Kenntnisse mit VirusTotal und dem Open-Source-Scanner von Cisco.
  4. Genehmigung erforderlich: Implementieren Sie die Human-in-the-Loop-Genehmigung für sensible Agentenaktionen und pausieren Sie die Ausführung zur Bestätigung vor kritischen Vorgängen.
  5. Dokumentenrisiko: Ordnen Sie die drei unlösbaren Lücken (semantische Exfiltration, Kontextverlust, Vertrauensketten) Ihrem Risikoregister zu und legen Sie eine Akzeptanz- oder Minderungsstrategie fest.
  6. Eskalieren: Bringen Sie diese Bewertung dem Vorstand vor und stellen Sie sie als eine Umgehung bestehender DLP- und IAM-Investitionen dar.

Der Sicherheits-Stack, den Sie für herkömmliche Anwendungen und Endpunkte erstellt haben, wird einen Agenten nicht dabei erwischen, wie er böswillige Anweisungen über einen legitimen API-Aufruf befolgt. Diese Lücken bestehen genau dort, wo aktuelle Abwehrmaßnahmen versagen.

СХОЖІ СТАТТІВід цього автора