ClawHavoc zeigt, wohin die Reise bei KI-Sicherheit geht
Eine vor gut einer Woche aufgedeckte Malware-Kampagne im OpenClaw-Ökosystem illustriert, welche Angriffsflächen durch autonome KI-Agenten entstehen – und warum Sicherheitsteams sich darauf vorbereiten sollten.
Ende Januar deckten Sicherheitsforscher des Unternehmens Koi Security eine koordinierte Malware-Kampagne auf dem Skill-Marktplatz ClawHub auf. Die Plattform dient Nutzern des KI-Agenten OpenClaw (früher Clawdbot oder Moltbot) als zentrale Quelle für Erweiterungen. Der Fall – von den Forschern „ClawHavoc“ getauft – gilt Sicherheitsexperten als Vorbote einer neuen Bedrohungskategorie: Angriffe, die gezielt das Vertrauensverhältnis zwischen Menschen und ihren KI-Assistenten ausnutzen.
Bei der Überprüfung aller 2.857 auf ClawHub verfügbaren Skills identifizierten die Forscher 341 schädliche Erweiterungen. 335 davon gehörten laut dem Bericht zu einer einzelnen, koordinierten Kampagne. Entdeckt hat man sie, als der für Sicherheitsforschung eingesetzte OpenClaw-Bot „Alex“ selbst die Frage stellte, was sich in den Skills befindet, die er regelmäßig installiert.
Anatomie eines Angriffs auf KI-Agenten
Das Angriffsmuster der ClawHavoc-Kampagne folgte laut Koi Security einem Schema, das Sicherheitsforscher bereits aus anderen Ökosystemen kennen – angepasst an die Besonderheiten von KI-Agenten. Die schädlichen Skills tarnten sich als legitime Werkzeuge, etwa als Solana-Wallet-Tracker oder YouTube-Zusammenfassungstool. Die Dokumentation wirkte professionell, enthielt jedoch einen Abschnitt mit angeblichen „Voraussetzungen“, die vor der Nutzung installiert werden müssten.
Windows-Nutzer wurden aufgefordert, eine passwortgeschützte ZIP-Datei herunterzuladen. Die Passwortsperre diente jedoch nicht der Sicherheit, sondern sollte verhindern, dass Antivirenprogramme den Inhalt automatisch scannen. macOS-Nutzer erhielten Anweisungen, ein Skript in ihr Terminal zu kopieren, das eine Verbindung zu Servern der Angreifer herstellte.
Als Nutzlast identifizierten die Forscher den Atomic macOS Stealer (AMOS), eine als Malware-as-a-Service vertriebene Schadsoftware. Diese kann Keychain-Passwörter auslesen, Browser-Daten aus allen gängigen Browsern extrahieren, über 60 verschiedene Kryptowährungs-Wallets kompromittieren sowie Telegram-Sitzungen und SSH-Schlüssel stehlen.
Die Angreifer zielten systematisch auf lukrative Nutzerkategorien. Mit 111 schädlichen Skills bildeten Krypto-Werkzeuge die größte Kategorie – darunter Solana-Tools, Phantom-Wallet-Utilities und sogenannte „Insider Wallet Finder“. Weitere Kategorien umfassten YouTube-Utilities, Polymarket-Trading-Bots, Typosquatting-Varianten des offiziellen ClawHub-CLI-Tools sowie als Auto-Updater getarnte Skills. Besonders bemerkenswert: 17 Skills gaben sich als Google-Workspace-Integrationen aus und versprachen damit Zugang zu E-Mails, Dokumenten und Kalendern. Sechs weitere Skills nutzten abweichende Techniken, darunter versteckte Backdoors in funktionierendem Code und Reverse Shells für vollständigen Fernzugriff.
Bekanntes Muster, neue Dimension
Laut Koi Security folgt die Attacke einem Muster, das aus npm, PyPI, VS Code-Erweiterungen und Browser-Add-ons bekannt ist. Angreifer finden wachsende Ökosysteme mit permissiven Veröffentlichungsrichtlinien, erstellen Typosquatting-Varianten beliebter Pakete und verstecken sich im Strom legitimer Software.
Der wesentliche Unterschied bei KI-Agenten liegt im Zugriffsumfang. OpenClaw-Bots werden häufig mit E-Mail-Konten, Kalendern, Notizen, Messaging-Diensten und Entwicklungsumgebungen verbunden. Ein kompromittierter Bot hat damit Zugang zu allem, was auch sein menschlicher Nutzer sieht – und kann mit Maschinengeschwindigkeit agieren.
Thomas Boele, Regional Director Sales Engineering bei Check Point Software Technologies, sieht in dem Fall einen Weckruf. Sobald KI-Tools mit realen Systemen in Berührung kämen, seien sie keine „persönlichen Experimente“ mehr, sondern Teil der Angriffsfläche eines Unternehmens. Das Muster spiegle wider, was mit frühen SaaS- und Schatten-IT-Lösungen passiert sei; mit dem Unterschied, dass KI-Agenten ausführen statt nur informieren.
Workforce-AI-Security als neues Handlungsfeld
Für Sicherheitsteams ergeben sich laut Boele konkrete Handlungsfelder. Agent-Tools sollten wie sensible Anwendungen behandelt werden, das Least-Privilege-Prinzip müsse auf Identität und Berechtigungen angewandt werden. Plugin-Installationen sollten beschränkt und externe Inhalte grundsätzlich als nicht vertrauenswürdig eingestuft werden.
Die Sicherheitsfrage habe sich verschoben, so Boele: Es gehe nicht mehr nur darum, was ein KI-Modell sage, sondern darum, was der Agent tue und unter wessen Autorität er handle. Koi Security hat als Reaktion auf die Entdeckung ein Werkzeug namens Clawdex veröffentlicht, das Skills vor der Installation gegen eine Datenbank bekannter Schadsoftware prüfen soll.
Der ClawHavoc-Fall dürfte nicht der letzte seiner Art sein. Je mehr Unternehmen und Einzelpersonen KI-Agenten mit weitreichenden Zugriffsrechten ausstatten, desto attraktiver werden diese Ökosysteme für Angreifer und desto dringlicher wird die Frage, wie sich das Vertrauen in autonome Assistenten absichern lässt.