Fehlkonfiguration kann verheerend sein
OpenClaw & Co.: KI-Agenten als Sicherheitsrisiko
Bei unserer Berichterstattung über den früher als Clawdbot und Moltbot bekannten KI-Agenten OpenClaw haben wir auf die mit der Verwendung solcher Software-Werkzeuge verbundenen Risiken hingewiesen. Dass solche Warnungen ernst zu nehmen sind, macht ein Bericht von Jamieson O’Reilly deutlich.
Der Sicherheitsforscher hat Hunderte von falsch konfigurierten OpenClaw-Instanzen gefunden. Zum Teil war es mithilfe dieser Installationen möglich, ohne jegliche Beschränkungen aus dem Internet heraus auf die betroffenen Systeme zuzugreifen.
Offene Türen aufgrund von Fehlkonfiguration
Konfigurationsdatei offen im Internet
O’Reilly will OpenClaw keineswegs verteufeln und betont, dass es sich dabei um ein brillantes Werkzeug handelt. Allerdings ist es unumgänglich, dass man sich intensiv mit den darin integrierten Sicherheitsfunktionen befasst, das System versteht und die Software dann entsprechend konfiguriert.
Bei vielen Nutzern von OpenClaw scheint dies jedoch eine untergeordnete Rolle zu spielen. Im schlimmsten Fall haben sie die damit verbundenen Risiken gar nicht verstanden. Dazu kann man generell sagen, dass jede Anwendung, die über das Internet erreichbar ist, ein grundlegendes Risikopotenzial mit sich bringt. Wer die technischen Zusammenhänge nicht nachvollziehen kann, sollte den Einsatz solcher Funktionen sorgfältig abwägen.
KI-Agenten benötigen umfangreiche Zugangsrechte
OpenClaw stellt ein besonders großes Risiko dar, weil die Software über umfassende Informationen und Rechte verfügen muss, damit man sie in vollem Umfang nutzen kann. Dazu zählt der Zugriff auf umfangreiche persönliche Daten von Kalendern über E-Mails bis hin zu Messengern. Der Zugriff auf Benutzernamen und Passwörter für ein effizientes Arbeiten ebenfalls vorausgesetzt. Wie soll die KI sonst Einkäufe erledigen oder Reservierungen machenP Lokaler Zugriff ohne Einschränkungen wird benötigt, um Aufgaben und Anwendungen auf dem Rechner auszuführen.
The most interesting thing in tech: Might AI agents create a new privacy risk we’re not thinking enough about? @mer__edith of @signalapp thinks they are. #WEF2026 pic.twitter.com/i5HqyEEMOI
— nxthompson (@nxthompson) January 19, 2026
„Allerdings ist es unumgänglich, dass man sich intensiv mit den darin integrierten Sicherheitsfunktionen befasst, das System versteht und die Software dann entsprechend konfiguriert.“
Wo liegt dann der Vorteil, wenn man eh einen Haufen Arbeit hat?
Setze dich mal mit OpenClaw richtig auseinander. Das ist aktuell noch in einer sehr frühen Phase und man muss wirklich genau wissen was man tut, wenn man es testen möchte.
Aber: es ist ein faszinierender Ausblick darauf, wie wir bereits in naher Zukunft mit Computern umgehen werden.
OpenClaw ist wie ein unsichtbarer Kumpel, der an deinem Rechner sitzt und für dich damit alles machen kann, was du möchtest.
Ein absoluter Experte mit Vollzugriff auf dein System.
Es gibt ein beeindruckendes Video von Kenu / ct3003.
Da fällt mir Nix mehr zu ein.
So blauäugig (oder faul?) kann man doch eigentlich nicht sein..
Aber der Name „claw“ sagt ja schon alles. :D
Wie dumm wir nur sind. Zuerst verschenken wir all unser Wissen nach Asien und jetzt lassen wir der KI freie Hand. Das endet nicht gut, glaubt mir.
OpenClaw ist Open Source.
Was hat jetzt „Asien“ damit zu tun?
Okay, ich glaube dir.
Am Besten vollen zugriff auf die PasswortApp dann sollte alles reibungslos laufen .
Viel Spaß .
Dann noch Zugriff auf den Mailaccount und anschließend werden dann wenigstens auch SCAM-Mails mal richtig beantwortet…..
Die Ki (künstliche Intelligenz) fällt derzeit oft besonders erfolgreich dort auf fruchtbaren Boden, wo es mit NI (natürliche Intelligenz) nicht sooo weit her ist.
Das würde ich nicht unbedingt sagen. Vermutlich schreit das Lager nur am lautesten, wenn das Kind in den Brunnen gefallen ist.
+1
Mediales Zinober und gleichzeitig richtig. Beides zugleich macht Menschen unsicherer und nicht schlauer. Natürlich ist eine Applikation nach 3 Monaten Entwicklung noch voller Probleme! Vollkommen normal und auch transparent. Jeder, der das nicht begreift, hat Software Entwicklung nicht verstanden. Von Open Source ganz zu schweigen. Man kann jede Applikation über ein secrets Management absichern. Ob hashicorp, 1Password, AWS oder andere – völlig egal. Wer echte Passwörter, Tokens oä. im Klartext auf Servern ablegt, dem ist nicht zu helfen. Referenzen ja, Klartext nein. So sieht keine LLM oder potenzielle Eindringlinge etwas. Dann nehmt die Kiste vom public Netz und geht nur über VPN Tunnel dran. Keine Exponierung auf Port 443 oder 80. grundsätzlich nicht. Klebt einen OIDC Provider für SSO via oauth davor, um den Zugriff auf UI’s und Services zu begrenzen. Das ist mal die Grundlage. Das erfordert techn. Know-how, richtig. Deshalb: Bitte nur in Begleitung, falls nicht vorhanden. Dass der Code auch anderweitig noch eine Reihe an „schwierigen“ Patterns hat – klar. Die sollte man selbst patchen, bis der Entwickler es von seiner Seite aus tut. Das begrenzt das Risiko schon um 90%. Dann sollte man die agents hart in ihren Möglichkeiten begrenzen oder kontrollieren und ihnen nicht willkürlichen Vollzugriff auf Mails etc. liefern. Im Zweifel schaltet ein Gateway zwischen Agent und Applikation, über das Zugriffe, Logs, Inhalt und patterns reguliert werden. LiteLLM, bifrost und co. Können das. Das eliminiert die Risiken weiter. Das ganze Setup bitte in eine isolierte Sandbox stecken und nicht mit anderen Netzwerken, Container setups oä. vermengen. Grenzt es an. Das allein reicht, um eine brauchbare, experimentelle Spielwiese zu erreichen. Ohne Drama. Straffes Monitoring und logging, dann in kleinen Schritten vortasten. Rechte immer isolieren und für einzelne Anwendungsbereiche freigeben, nicht pauschal. Eigene, kontrollierte Inferenz Endpunkte nutzen, falls möglich.
Ähhh, du argumentierst etwas am Problem vorbei…
Openclaw benötigt keine Passwörter im Klartext, denn es darf im Zweifelsfall ohne Beschränkungen auf deinen Passwort-Manager (wie z.b. 1Password) zugreifen. Das selbe gilt für alle anderen privaten und sensiblen Daten. Das Sicherheitsproblem kann man schlicht nicht einfach lösen. Wenn ein KI-Agent persönliche oder sensible Daten braucht um die gestellte Aufgabe zu erledigen, dann hat man die Wahl, entweder gibt man der KI den Zugriff, oder sie erledigt die Aufgabe nicht.
Und wenn die KI für eine Aufgabe Zugriff aufs Internet braucht, und Zugriff auf deine Passwörter um auf bestimmte online-Dienste zugreifen zu können, dann kann sie aufgrund von Halluzinationen die Passwörter irgendwo verbreiten, kann durch im Internet platziere Angriffe sich den Prompt manipulieren lassen, und der Angreifer hat Zugriff auf dein System, und es gibt praktisch nichts, was du dagegen tun kannst.
Das Dilemma ist: nur ein derartig offenes System erlaubt die richtig „coolen“ und nützlichen Dinge (weswegen openclaw aktuell auch so ein Hype ist), aber ein derartig offenes System ist eben auch nahezu schutzlos vor Angriffen aller Art und schutzlos von Unfällen (Halluzinationen).
Das mag ja alles sein, aber irgendwie ist das doch nicht neues. Das Netz war auch vorher voll offenen Interfaces. Man findet auch 2026 in JS hartkodierte API-Keys und uralte Typo/WP/PHPbb/younameit-Installationen, die nahezu OneClick Privilegeeskalatoren sind. Immer noch kann man SQL-Injections absetzen weil Eingaben nicht escaped werden. Ein oller Subdomainscan auf Firmendomains ist häufig wie ein Ausflug in das Gruselkabinett der Sicherheitslücken. IMHO ist hier lediglich die Kugel glitzender, die die Leute sich ins Knie schießen können.