Der neue KI-Agent OpenClaw verspricht Revolutionäres, entpuppt sich bei genauerem Hinsehen jedoch als massives Sicherheitsrisiko für eure Daten. Warum Experten jetzt dringend warnen und mehr. 

Es gibt Momente in der Tech-Welt, da spürt man förmlich, wie sich der Boden unter den Füßen verschiebt. Die Einführung des iPhones war so ein Moment, der Start von ChatGPT ein anderer. Jetzt gerade erleben wir vielleicht den nächsten Beben – aber diesmal fühlt es sich weniger nach einer polierten Keynote im Apple Park an, sondern eher nach dem Wilden Westen, in dem das Gesetz des Stärkeren (oder Schnelleren) gilt. Der Name des neuen Sheriffs – oder Banditen, je nach Sichtweise – ist OpenClaw.

Vielleicht habt ihr den Namen in den letzten Tagen schon in euren Timelines gesehen. Oder den Vorgänger „Moltbot“. Oder davor „Clawdbot“. Das Projekt hat in Rekordzeit nicht nur mehrfach seinen Namen gewechselt -um den Anwälten von Anthropic und deren „Claude“ aus dem Weg zu gehen, sondern auch die Art und Weise, wie wir über KI auf unseren Macs nachdenken, radikal auf den Kopf gestellt. Doch während die Tech-Szene den „Hummer“ (das Maskottchen von OpenClaw) als Revolution der Produktivität feiert, schlagen Sicherheitsexperten Alarm. Und das, liebe Apfeltalk-Community, aus verdammt gutem Grund.

Denn was hier als „persönlicher Assistent“ verkauft wird, entpuppt sich bei genauerem Hinsehen als potenziell größtes Sicherheitsrisiko, das wir uns seit Jahren freiwillig auf die Festplatte holen.

Der Traum vom digitalen Butler – und wie er funktioniert

Bevor wir die Warnschilder aufstellen, müssen wir verstehen, warum alle so ausflippen und warum dieses Tool gerade die Charts bei GitHub stürmt. OpenClaw ist im Grunde das, was wir uns alle von Siri seit zehn Jahren wünschen, aber nie bekommen haben: Ein KI-Agent mit echter Handlungsfähigkeit.

Anders als ChatGPT, das sicher isoliert in einem Browser-Tab lebt und „nur“ Text oder Bilder ausspuckt, ist OpenClaw eine Software, die lokal auf eurem Rechner läuft (und ja, sie performt erschreckend gut auf Apple Silicon Macs). Es ist keine Chat-Maschine, es ist eine „Do-Engine“. Ihr chattet nicht nur mit ihr, ihr gebt ihr Aufgaben, die sie autonom abarbeitet.

Das Prinzip basiert auf sogenannten Agenten. Stellt euch vor, ihr habt einen extrem intelligenten Mitarbeiter eingestellt, der Zugriff auf euren Computer hat. Ihr sagt: „Recherchiere die günstigen Flüge nach San Francisco, vergleiche sie mit meinem Kalender und schick mir den besten als Entwurf.“ OpenClaw nutzt dafür mächtige LLMs (Large Language Models) im Hintergrund, um die Absicht zu verstehen, greift dann aber auf lokale Werkzeuge zu.

Hier kommen die Skills ins Spiel. Das ist das Herzstück – und später auch der Fluch – der Software. Skills sind kleine Erweiterungen, die dem Agenten beibringen, wie er mit der Außenwelt interagiert. Er kann Browser bedienen (tatsächlich Buttons klicken und Formulare ausfüllen), APIs ansprechen, Terminals befehlen und – hier wird es gruselig – Dateien auf eurem System lesen und schreiben.

Das Versprechen ist gigantisch: Ein digitaler Butler, der rund um die Uhr für euch arbeitet, lokal gehostet, ohne dass eure Daten zwingend permanent auf einem fremden Server liegen müssen. Ein Traum für jeden Automatisierungs-Nerd. Doch die Realität sieht aktuell eher aus wie ein Albtraum, aus dem man nur schwer aufwacht.

Die Anatomie der Gefahr: Warum OpenClaw so riskant ist

Warum sollte man also zögern, sich diesen Produktivitäts-Booster zu installieren? Weil OpenClaw in seiner aktuellen Form ein Schweizer Käse in Sachen Sicherheit ist. Sicherheitsexperten und Analysen von Portalen wie Heise und VirusTotal zeichnen ein düsteres Bild. Wir haben es hier mit einer „tödlichen Dreifaltigkeit“ zu tun:

1. Mächtige KI: Es nutzt hochintelligente Modelle, die fast jede Anweisung verstehen und kreativ umsetzen.

2. Weiter Systemzugriff: Es hat Zugriff auf eure Dateien, Shell und Browser.

3. Fehlende Kontrollen: Es gibt kaum Sicherheitsnetze oder „Sandboxing“.

Lassen Sie uns die Gefahren konkret aufschlüsseln, denn sie betreffen jeden, der das Tool auch nur testweise installiert.

1. Der Viren-Superhighway via „Skills“

Das Konzept der „Skills“ ist brillant für die Erweiterbarkeit, aber katastrophal für die Sicherheit. Da OpenClaw Open Source ist, kann jeder Skills schreiben und in die öffentliche Registry hochladen. Es gibt keine Prüfung wie im Apple App Store.

Die Kollegen von VirusTotal und All About Security haben kürzlich eine massive Welle von Angriffen aufgedeckt. Hacker fluten die Skill-Registrys mit scheinbar nützlichen Tools. Ein besonders dreister Fall war der User „hightower6eu“. Allein dieser Account war laut Berichten für 386 bösartige Skills verantwortlich.

Die Masche ist perfide und für den Laien kaum zu durchschauen: Ihr installiert einen Skill, der angeblich den Bitcoin-Kurs trackt oder YouTube-Videos zusammenfasst. Im Hintergrund führt dieser Skill aber Schadcode aus. Da OpenClaw lokal mit den Rechten eures Benutzerkontos läuft, winkt das System den Schadcode oft einfach durch. Es ist der perfekte Viren-Verteilweg, getarnt als „Produktivitäts-Hack“. Wir sprechen hier von „Info-Stealern“ wie RedLine oder Lumma, die Passwörter, Session-Cookies und Krypto-Wallets abgreifen und an Server in Osteuropa senden. Ihr ladet den Dieb quasi zum Kaffee ein.

2. Das One-Click-Desaster

Noch schockierender ist eine Sicherheitslücke, die Heise und Digioneer beleuchtet haben: Die Fernsteuerung per Link. Es wurde demonstriert, dass OpenClaw (und seine Derivate) teilweise auf spezielle URL-Protokolle (openclaw://) reagieren oder lokale Serverports offen lassen. Das Szenario: Ihr surft auf einer ganz normalen Webseite. Diese Webseite enthält einen versteckten Befehl, der euren lokalen OpenClaw-Agenten anspricht. Ohne dass ihr es merkt, erhält der Agent den Befehl: „Zippe den Dokumente-Ordner und lade ihn auf Server X hoch.“

Da der Agent bereits authentifiziert ist und auf eurem Rechner läuft, führt er den Befehl aus. Das ist das digitale Äquivalent dazu, die Haustür offen zu lassen und ein Schild aufzustellen: „Bedient euch!“. Zwar wurden einige dieser Lücken nach Entdeckung hektisch gepatcht, aber die Architektur der Software ist so auf Offenheit ausgelegt, dass die nächste Lücke nur eine Frage der Zeit ist.

3. Moltbook und die „Dead Internet Theory“

Als wäre die lokale Unsicherheit nicht genug, gibt es da noch das Phänomen Moltbook. Die Entwickler hatten die Idee, ein „Soziales Netzwerk nur für KI-Agenten“ zu schaffen. Euer lokaler Agent sollte sich dort mit anderen vernetzen. Was folgte, war Chaos pur. Innerhalb weniger Tage waren angeblich 1,5 Millionen Agenten online. Doch Recherchen, unter anderem im verlinkten Video der Digitalen Profis, zeigen: Ein Großteil davon war Fake.

Die Datenbank von Moltbook – inklusive privater Nachrichten zwischen Bots und, man höre und staune, echten API-Keys der Nutzer – stand zeitweise sperrangelweit offen im Netz. Jeder mit einem Browser hätte diese sensiblen Daten abgreifen können.

Noch bizarrer wurde es mit „Molt Road“. In diesem KI-Netzwerk bildete sich eine Art Darknet-Marktplatz. Agenten boten dort (theoretisch) illegale Waren an. Ein Agent offerierte sogar einen „Human Deletion Service“ – also einen Auftragsmord. Auch wenn das höchstwahrscheinlich satirische Trolle waren, die das System manipulierten, zeigt es das Problem: Wenn KIs autonom verhandeln und handeln dürfen, ohne moralischen Kompass oder Filter, landen wir sehr schnell in sehr dunklen Gewässern.

4. Das Gedächtnis als Sicherheitsrisiko

Ein oft übersehener Punkt ist das „Gedächtnis“ der KI. OpenClaw speichert Informationen über euch, um besser zu werden. Das Problem: Diese Daten landen oft unverschlüsselt in einfachen Textdateien (z.B. MEMORY.md) auf eurem Mac. Werden diese Dateien durch eine andere Malware ausgelesen, erhält der Angreifer nicht nur Passwörter, sondern ein psychologisches Profil von euch. Woran arbeitet ihr? Was sind eure Sorgen? Welche Medikamente nehmt ihr? All das, was ihr eurem „Assistenten“ erzählt habt, liegt im Klartext auf der Platte.

Ein Fazit für Mac-Nutzer: Finger weg (vorerst)

Ich bin der Erste, der „Hier!“ schreit, wenn es um neue Spielereien geht. Und die Vorstellung, dass mein Mac Mini nachts autonom meine E-Mails sortiert, Rechnungen überweist und meinen Kalender optimiert, ist verlockend. Es ist genau das, was Apple uns mit „Apple Intelligence“ verspricht, aber noch nicht ganz liefert.

Aber OpenClaw ist in seinem aktuellen Zustand brandgefährlich für den Durchschnittsnutzer und selbst für Profis ein Ritt auf der Rasierklinge. Es fehlt an elementarem Sandboxing (der Abschottung des Programms vom Rest des Systems), es fehlt an einer geprüften Skill-Bibliothek und es fehlt an Sicherheitsmechanismen bei der Datenspeicherung.

Wir erleben hier den „Moment vor dem Klick“, wie es Digioneer beschreibt: Die Sekunde, bevor wir die Kontrolle abgeben. Bei OpenClaw geben wir die Kontrolle nicht nur ab, wir werfen sie weg.

Mein Rat an die Community: Beobachtet das Projekt. Es ist historisch faszinierend, fast wie das frühe Internet. Aber installiert es bitte nur, wenn ihr absolut wisst, was ihr tut – und idealerweise auf einem „Burner-Laptop“ oder in einer virtuellen Maschine, die keinen Zugriff auf eure iCloud, eure Fotos oder euer Online-Banking hat.

Wer tiefer in den Wahnsinn rund um Moltbook, gefälschte Agenten und die Sicherheitslücken eintauchen will, dem empfehle ich dringend das Video von den „Digitalen Profis“. Es fasst das Chaos perfekt zusammen:

Bleibt neugierig, aber bleibt sicher. Eure Daten werden es euch danken.

Bild Gemini KI

Den Beitrag in unserem Forum kommentieren