![\"Beware](\"https:\/\/media.jfrog.com\/wp-content\/uploads\/2026\/02\/02154336\/Beware-of-Open-Claw-863X300.png\")
<\/p>\n<\/p>\n
In Sachen Sicherheit rechnen wir nicht damit, dass immer alles reibungslos l\u00e4uft. Wir setzen auf Zero-Trust und richten Kontrollmechanismen ein, um den Blast Radius zu begrenzen. Diese Denkweise fehlt heute in vielen OpenClaw-Deployments.<\/p>\n
Der neue pers\u00f6nliche KI-Assistent OpenClaw (fr\u00fcher bekannt als ClawdBot und MoltBot) ist derzeit in aller Munde. Seit seinem Release im November 2025 hat er die Tech-Welt im Sturm erobert und schnell weit \u00fcber 100.000 GitHub-Stars, Zehntausende Forks und Millionen von Besuchern angesammelt.<\/p>\n
![\"Beware](\"https:\/\/media.jfrog.com\/wp-content\/uploads\/2026\/02\/02151143\/Beware-of-OpenClaw-image4.png\")
<\/p>\n
OpenClaw<\/a> ist eine offene Agenten-Plattform, die direkt auf Ihren Ger\u00e4ten l\u00e4uft und sich in mehr als 50 beliebte Anwendungen und Services integrieren l\u00e4sst \u2013 darunter g\u00e4ngige Chat-Plattformen wie WhatsApp, Telegram, Slack, Discord, Google Chat, Signal, iMessage, Microsoft Teams, WebChat sowie erweiterte Channels wie BlueBubbles, Matrix und Zalo.<\/p>\n Mit OpenClaw kann ein KI-Agent:<\/p>\n Diese Utilities sind jedoch nicht umsonst \u2013 Sie bezahlen OpenClaw mit Ihrer eigenen Security-Posture. Damit der Agent funktioniert, ben\u00f6tigt er Zugriff auf das Dateisystem, Bash-Execution-Berechtigungen, API-Keys und Netzwerkzugriff. Das ist eine Menge \u2013 und mit wachsender Komplexit\u00e4t steigen auch die Sicherheitsrisiken.<\/p>\n Peter Steinberger, der Gr\u00fcnder von OpenClaw, erkennt offen an, dass \u201eSicherheit unsere oberste Priorit\u00e4t bleibt\u201c. Auch wenn das ehrlich gemeint ist, best\u00e4tigt die Aussage, dass das Sicherheitsmodell von OpenClaw noch nicht ausgereift ist.<\/p>\n Das Problem ist, dass viele Nutzer das Tool schon jetzt installieren, ihm umfangreiche Berechtigungen gew\u00e4hren und es mit ihren sensiblen Systemen und Accounts verkn\u00fcpfen, w\u00e4hrend es gleichzeitig ein attraktives Ziel f\u00fcr Angreifer ist.<\/p>\n Die Installation eines KI-Assistenten wie OpenClaw und das Gew\u00e4hren weitreichender Berechtigungen bedeutet effektiv, die Schl\u00fcssel zu Ihrem digitalen Leben aus der Hand zu geben.<\/p>\n Es unterscheidet sich nicht davon, jemandem, den Sie kaum kennen, die Schl\u00fcssel zu Ihrem Zuhause zu geben. Vielleicht hilft Ihnen diese fremde Person beim Tragen Ihrer Eink\u00e4ufe, sie k\u00f6nnte aber genauso gut den Schl\u00fcssel nachmachen lassen, andere einladen oder die T\u00fcr offenlassen, ohne dass Sie es bemerken.<\/p>\n Entscheidend sind nicht nur die Absichten, sondern vor allem die M\u00f6glichkeiten.<\/p>\n Sie sollten sich fragen:<\/p>\n Wenn Nutzer OpenClaw Zugriff auf E-Mails, Dateien, Kalender, Messaging-Plattformen und API-Keys geben (h\u00e4ufig alles auf einmal und ohne Isolation), setzen sie ein perfektes System voraus \u2013 und nicht eines, das sich noch weiterentwickelt und verschiedenen Sicherheitsrisiken ausgesetzt ist.<\/p>\n Bevor wir uns die eigentlichen Sicherheitsrisiken anschauen, ist es wichtig zu verstehen, was OpenClaw \u00fcberhaupt ist und wie es arbeitet.<\/p>\n Auf einem hohen Niveau ist OpenClaw ein lokal laufendes KI-Agent-Gateway.<\/strong> Wenn Sie OpenClaw installieren und starten, startet es einen Service auf Ihrem Rechner, der quasi als Gehirn und Control Plane f\u00fcr einen oder mehrere KI-Agenten dient. Dieser Service stellt ein lokales Webinterface und eine API bereit, die normalerweise an localhost auf einem bestimmten Port gebunden sind und \u00fcber die Nutzer mit dem Agenten interagieren.<\/p>\n Wenn OpenClaw l\u00e4uft, \u00f6ffnet es einen lokalen HTTP-Server, der \u00fcber den Browser zug\u00e4nglich ist.<\/p>\n Dieses Web-UI ist mehr als nur ein Chat-Fenster. Es ist effektiv ein Agentensteuerungs-Dashboard, das Nutzern erlaubt:<\/p>\n Im Hintergrund wird jede Nachricht, die Sie eingeben, in strukturierte Anweisungen \u00fcbersetzt, die der Agent verarbeitet und m\u00f6glicherweise in reale Aktionen umsetzt.<\/p>\n Die St\u00e4rke von OpenClaw liegt in seinen Integrationen. Ein einzelner Agent l\u00e4sst sich mit Dutzenden externer Services verbinden, darunter Chat-Plattformen, Cloud-Provider, E-Mail-Systeme, Kalender, Code-Ausf\u00fchrungsumgebungen und mehr. Bei vielen Deployments erhalten die Agenten umfangreiche Berechtigungen, damit diese Integrationen sofort reibungslos funktionieren.<\/p>\n Diese Berechtigungen sind typischerweise langlebige API-Tokens oder OAuth-Credentials, die in lokalen oder Remote-Konfigurationsdateien als Plain Text gespeichert werden k\u00f6nnen und es dem Agenten erlauben, im Namen des Nutzers zu handeln. Sobald sie gew\u00e4hrt wurden, unterscheidet der Agent nicht zwischen legitimen Benutzeranweisungen und b\u00f6sartigen Anfragen \u2013 sofern er nicht explizit eingeschr\u00e4nkt wird.<\/p>\n Nutzer installieren OpenClaw h\u00e4ufig mit breitem Zugriff auf E-Mails, Cloud-Speicher, Kalender, Messaging-Plattformen und sogar Befehle auf Systemebene. In vielen F\u00e4llen sind Admin-Dashboards auf allen Netzwerkschnittstellen mit schwacher oder fehlender Authentifizierung exponiert, was sensible Accounts, Daten und Dateien gef\u00e4hrdet.<\/p>\n Wird OpenClaw korrekt konfiguriert, ist der Agent an das lokale Interface gebunden und sollte nur vom selben Rechner aus zug\u00e4nglich sein. Viele Nutzer pr\u00fcfen oder verstehen ihre Konfiguration jedoch nicht vollst\u00e4ndig und machen den Agenten f\u00fcr das gesamte Netzwerk zug\u00e4nglich \u2013 oder schlimmer noch, f\u00fcr das Internet \u2013 ohne jegliche Authentifizierung.<\/p>\n Dadurch kann jeder, der den exponierten Endpoint erreichen kann, mit dem Agenten interagieren und direkten Zugriff auf den Hosting-Rechner erhalten. Abh\u00e4ngig von aktivierten Tools und Berechtigungen kann ein Angreifer Dateien vom Dateisystem lesen, E-Mails und WhatsApp-Konversationen einsehen, API-Keys extrahieren, Slack-Threads lesen und weitere Aktionen des Agenten triggern.<\/p>\n Das auszunutzen, ist nicht einmal kompliziert. Eine einfache Abfrage des Standardports (18789) von OpenClaw \u00fcber Shodan offenbart bereits Tausende exponierter OpenClaw-Agenten, die \u00fcber das Internet zug\u00e4nglich sind \u2013 und eine erhebliche und wachsende Angriffsfl\u00e4che darstellen:<\/p>\n Die von der Community geteilten Skill-Libraries und Drittanbieter-Extensions von OpenClaw sind weitgehend nicht gepr\u00fcft. B\u00f6sartige oder anf\u00e4llige Skills k\u00f6nnen umfangreiche Berechtigungen anfordern, Malware installieren oder sensible Informationen exfiltrieren.<\/p>\n Mehrfache Umbenennungen des Projekts haben zudem M\u00f6glichkeiten f\u00fcr Angreifer geschaffen, Domains, Social-Media-Accounts und Repositories zu klonen und Phishing- oder Malware-Kampagnen sowie andere Betrugsversuche zu pushen. Zusammengenommen machen diese Faktoren die Lieferkette zu einem bedeutenden Angriffsvektor f\u00fcr Nutzer.<\/p>\n Ein aktuelles Beispiel ist eine VS-Code-Erweiterung namens \u201eClawdBot Agent\u201c<\/a>, die sich als Trojaner entpuppte \u2013 das offizielle ClawdBot-Team hatte nie eine VS-Code-Extension ver\u00f6ffentlicht. Weitere Beispiele wurden von Ofir Balassiano<\/a> gemeldet, der 37 b\u00f6sartige Skills auf ClawdHub identifizierte, die drei unterschiedlichen aktiven Kampagnen zugeordnet werden konnten.<\/p>\n Und all das ist vermutlich nur die Spitze des Eisbergs: Denn wie jeder KI-Agent kann auch OpenClaw schw\u00e4chere Modelle ausf\u00fchren, die anf\u00e4lliger f\u00fcr Prompt-Injection-Angriffe sind\u00a0 \u2013 was seine Aktionen bei jedem Schritt beeinflussen kann.<\/p>\n Obwohl OpenClaw m\u00e4chtig ist, k\u00f6nnen Sie mehrere praktische Ma\u00dfnahmen ergreifen, um Risiken zu reduzieren:<\/p>\n Wie immer k\u00f6nnen auch die folgenden allgemeinen Ma\u00dfnahmen dazu beitragen, das Risiko durch OpenClaw zu verringern:<\/p>\n Wenn Sie Agenten in einer Unternehmensumgebung betreiben, reicht es nicht, sich auf individuelle Konfigurationen zu verlassen \u2013 Sie m\u00fcssen wirklich Ihre gesamte Software-Lieferkette absichern. Hier kommt JFrog ins Spiel \u2013 mit L\u00f6sungen, die Sie vor KI-spezifischen Bedrohungen sch\u00fctzen:<\/p>\n Lassen Sie nicht zu, dass lokale Tools zu einem Risiko f\u00fcr Ihr Unternehmen werden. Vereinbaren Sie noch heute eine Demo<\/a> und erfahren Sie, wie die JFrog Plattform<\/a> Ihnen die n\u00f6tige Transparenz und Kontrolle bietet, um Ihre Software-Lieferkette im Zeitalter von KI abzusichern.<\/p>\n","protected":false},"excerpt":{"rendered":" In Sachen Sicherheit rechnen wir nicht damit, dass immer alles reibungslos l\u00e4uft. Wir setzen auf Zero-Trust und richten Kontrollmechanismen ein, um den Blast Radius zu begrenzen. Diese Denkweise fehlt heute in vielen OpenClaw-Deployments. Der neue pers\u00f6nliche KI-Assistent OpenClaw (fr\u00fcher bekannt als ClawdBot und MoltBot) ist derzeit in aller Munde. Seit seinem Release im November 2025 …<\/p>\n","protected":false},"author":590,"featured_media":162881,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[10157],"tags":[11047,11048,11049,11046,11050,10933,10348],"class_list":["post-163203","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sicherheit-und-devsecops","tag-blast-radius-de","tag-openclaw-de","tag-security-posture-de","tag-digital-keys-de","tag-access-control-de","tag-agentic-ai-de","tag-security-research-de"],"yoast_head":"\n\n
Das Risiko ist real: Ihre digitalen Schl\u00fcssel sind in Gefahr<\/h2>\n
\n
Wie funktioniert OpenClaw?<\/h2>\n
Das lokale Gateway und das Webinterface<\/h3>\n
![\"Beware](\"https:\/\/media.jfrog.com\/wp-content\/uploads\/2026\/02\/02152941\/Beware-of-OpenClaw-image3.png\")
\nDieses einfache Dashboard verschleiert die Tatsache, dass Ihre Agenten m\u00f6glicherweise unbeschr\u00e4nkten Zugriff haben, der die Sicherheit Ihrer Software-Lieferkette bedroht.
\n<\/span><\/i><\/p>\n\n
Integrationen und Berechtigungen<\/h3>\n
Schon wenige Tage nach dem ersten Hype: Offenlegung sensible Accounts, Daten und Dateien<\/h2>\n
\u00dcberm\u00e4\u00dfige Berechtigungen und Fehlkonfiguration<\/h3>\n
![\"Beware](\"https:\/\/media.jfrog.com\/wp-content\/uploads\/2026\/02\/02153259\/Beware-of-OpenClaw-image1.png\")
<\/p>\nRisiken in der Lieferkette und im Skill-\u00d6kosystem<\/h3>\n
Nutzen Sie OpenClaw mit Bedacht<\/h2>\n
\n
\n
Wie JFrog Ihnen helfen kann, OpenClaw abzusichern<\/h2>\n
\n