OpenClaw: KI-Assistent als Einfallstor für Krypto-Diebe

Ein populärer Open-Source-KI-Agent wird für eine großangelegte Malware-Kampagne missbraucht, die auf Krypto-Investoren abzielt.

Sicherheitsforscher haben eine massive Angriffswelle aufgedeckt, die den selbst gehosteten KI-Assistenten OpenClaw als Trojanisches Pferd nutzt. Über bösartige Erweiterungen, sogenannte „Skills“, stehlen Cyberkriminelle digitale Wallets und sensible Zugangsdaten. Der Fall offenbart gravierende Sicherheitslücken im boomenden Ökosystem autonomer KI-Tools.

Die Falle im „Skills“-Marktplatz

OpenClaw, zuvor unter den Namen Clawdbot und Moltbot bekannt, erfreut sich großer Beliebtheit, weil er lokal auf dem Rechner läuft und komplexe Aufgaben automatisiert. Seine Funktionalität erweitern Nutzer über „Skills“ – Erweiterungen, die sie aus einer zentralen Registry namens ClawHub herunterladen können.

Doch genau dieses offene Modell wird nun massiv ausgenutzt. Wie ein Bericht der Sicherheitsfirmen OpenSourceMalware und Koi Security diese Woche enthüllt, wurden zwischen Ende Januar und Anfang Februar 2026 über 400 schädliche Skills auf ClawHub und GitHub hochgeladen. Sie tarnten sich als nützliche Tools für Krypto-Enthusiasten, mit Namen wie „solana-wallet-tracker“ oder „yahoo-finance-pro“.

Die Schadsoftware nutzt raffinierte Social Engineering-Tricks. Professionell wirkende Dokumentationen und gefälschte Voraussetzungen sollen Nutzer dazu verleiten, Befehle auszuführen, die vermeintlich das Tool einrichten, in Wirklichkeit aber Informationsdiebe installieren. Da OpenClaw mit den vollen Rechten des Nutzers auf dem lokalen Rechner läuft, umgehen diese Skripte viele traditionelle Sicherheitsprüfungen.

Die Attacke auf OpenClaw zeigt, wie gefährlich Supply‑Chain‑Angriffe auf KI‑Agenten sind: Schad‑Skills können lokal volle Systemrechte ausnutzen und Krypto‑Assets gefährden. Ein kostenloses E‑Book „Cyber Security Awareness Trends“ erklärt, welche praktischen Schutzmaßnahmen jetzt nötig sind — von Härtung der Agenten über Netzwerksegmentierung bis zu Mitarbeiter‑Checks. Enthalten sind Checklisten, Sofortmaßnahmen und ein Kapitel zur KI‑Regulierung für Unternehmen. Jetzt kostenlosen Cyber‑Security‑Report herunterladen

Atomic Stealer und Windows-Trojaner im Anmarsch

Die technische Analyse zeigt eine koordinierte Aktion gegen macOS- und Windows-Nutzer. Viele der schädlichen Skills werden einem einzigen Akteur mit dem Pseudonym „hightower6eu“ zugeschrieben, der Hunderte infizierte Pakete verbreitete, bevor er entdeckt wurde.

Für macOS-Nutzer endet die Attacke oft mit „Atomic Stealer“ (AMOS), einer berüchtigten Malware, die iCloud-Keychain-Passwörter, Browser-Cookies und Krypto-Wallet-Dateien ausliest. Windows-Nutzer erhalten passwortgeschützte ZIP-Dateien mit „openclaw-agent.exe“, einem gepackten Trojaner zum Abfluss sensibler Daten.

Einmal installiert, operiert die Malware im Hintergrund. Sie sucht gezielt nach Dateien und Zugangsdaten für Krypto-Assets wie private Schlüssel, Seed-Phrasen und API-Keys von Börsen. Da OpenClaw nicht in einer Sandbox läuft, kann ein einzelner schädlicher Skill einem Angreifer die vollständige Kontrolle über das System verschaffen.

Die „tödliche Dreifaltigkeit“ der Risiken

Der Vorfall schürt die Debatte über die Sicherheit autonomer KI-Agenten. Experten beschreiben die Architektur von Tools wie OpenClaw als „tödliche Dreifaltigkeit“: Sie haben Zugriff auf sensible Nutzerdaten, sind ungeprüften externen Inhalten (via Skills) ausgesetzt und können mit der Außenwelt kommunizieren.

Sicherheitsanalysten von Cisco und anderen Firmen weisen darauf hin, dass die rasante Entwicklung und häufige Umbenennung des Projekts – innerhalb eines Monats von Clawdbot zu Moltbot und dann zu OpenClaw – Geschwindigkeit über Sicherheit gestellt haben könnte. Neben den bösartigen Skills fanden Forscher über 21.000 OpenClaw-Instanzen mit offen zugänglichen Konfigurationsschnittstellen im Internet. Diese ungesicherten Instanzen könnten Angreifern eine Fernübernahme des KI-Agenten ermöglichen – ganz ohne dass der Nutzer einen Skill installieren muss.

Warnung für die gesamte KI-Branche

Diese Kampagne markiert eine bedeutende Wende. Während sich frühere Angriffe auf das „Jailbreaken“ von Sprachmodellen konzentrierten, betrachten Bedrohungsakteure die Agenten selbst nun als wertvolle Infrastruktur für Supply-Chain-Angriffe. Durch die Kompromittierung des Erweiterungs-Ökosystems umgehen sie die Notwendigkeit, Software-Schwachstellen auszunutzen, und setzen stattdessen auf das Vertrauen, das Nutzer in das „KI“-Label setzen.

Der Angriff ist auch eine Warnung für den Unternehmenssektor, der zunehmend ähnliche agentenbasierte KI-Frameworks integriert. Wenn ein Consumer-Tool so schnell zur Diebesware für Krypto-Assets werden kann, stehen Unternehmenslösungen mit Zugang zum Firmennetzwerk vor noch raffinierteren Bedrohungen. Der Vorfall unterstreicht die Notwendigkeit von Sandboxing – dem Ausführen von KI-Prozessen in isolierten Umgebungen.

Was Nutzer jetzt tun müssen

Als Reaktion auf die Krise werden die Betreuer von OpenClaw und ähnlichen Projekten voraussichtlich strengere Regeln für ihre Erweiterungs-Marktplätze einführen. In den kommenden Wochen dürften Programme für „verifizierte Entwickler“ und automatische Sicherheitsscans für alle hochgeladenen Skills folgen.

Die unmittelbare Gefahr bleibt jedoch hoch. Sicherheitsfirmen raten OpenClaw-Nutzern dringend:
* Alle installierten Skills zu überprüfen
* Erweiterungen aus nicht verifizierten Quellen sofort zu entfernen
* Sicherzustellen, dass ihre Instanzen nicht dem öffentlichen Internet ausgesetzt sind

Während der Markt für persönliche KI-Agenten 2026 weiter expandiert, wird der Konflikt zwischen funktionsreicher Offenheit und rigorosen Sicherheitskontrollen die nächste Generation dieser Tools prägen.

PS: Sie möchten Ihr System und Ihr Unternehmen vor solchen Angriffen schützen? Der kostenlose Cyber‑Security‑Leitfaden zeigt kostengünstige, sofort umsetzbare Maßnahmen — von Absicherung der Agenten über Netzwerkkonfiguration bis zu Mitarbeiterschulungen gegen Social‑Engineering. Ideal für IT‑Verantwortliche und Entscheider, die präventiv handeln wollen. Jetzt Cyber‑Security‑Leitfaden gratis anfordern