KI-basierte Assistenten oder „Agenten“ – autonome Programme, die Zugriff auf den Computer, Dateien und Online-Dienste des Benutzers haben und praktisch jede Aufgabe automatisieren können – werden bei Entwicklern und IT-Mitarbeitern immer beliebter. Aber wie zahlreiche Schlagzeilen in den letzten Wochen gezeigt haben, verschieben diese leistungsstarken und durchsetzungsfähigen neuen Werkzeuge die Sicherheitsprioritäten für Organisationen rapide und verwischen die Grenzen zwischen Daten und Code, vertrauenswürdigem Kollegen und Insider-Bedrohung, Ninja-Hacker und Anfänger-Code-Jockey. Die neueste Sensation bei KI-basierten Assistenten – **OpenClaw** (früher bekannt als **ClawdBot** und **Moltbot**) – hat seit seiner Veröffentlichung im November 2025 eine schnelle Verbreitung erfahren. OpenClaw ist ein quelloffener, autonomer KI-Agent, der lokal auf Ihrem Computer ausgeführt werden kann und proaktiv Aktionen in Ihrem Namen durchführt, ohne dass eine Aufforderung erforderlich ist.  Wenn das wie ein riskantes Unterfangen oder eine Mutprobe klingt, bedenken Sie, dass OpenClaw am nützlichsten ist, wenn es vollen Zugriff auf Ihr digitales Leben hat, wo es dann Ihre E-Mails und Ihren Kalender verwalten, Programme und Tools ausführen, das Internet nach Informationen durchsuchen und sich mit Chat-Apps wie Discord, Signal, Teams oder WhatsApp integrieren kann. Andere etabliertere KI-Assistenten wie **Anthropic’s Claude** und **Microsoft’s Copilot** können diese Dinge ebenfalls tun, aber OpenClaw ist nicht nur ein passiver digitaler Butler, der auf Befehle wartet. Vielmehr ist er darauf ausgelegt, in Ihrem Namen die Initiative zu ergreifen, basierend auf dem, was er über Ihr Leben weiß, und seinem Verständnis dessen, was Sie erledigt haben möchten. „Die Erfahrungsberichte sind bemerkenswert“, beobachtete die KI-Sicherheitsfirma **Snyk**. „Entwickler, die Websites von ihren Handys aus erstellen, während sie Babys einschläfern; Benutzer, die ganze Unternehmen über eine hummerthematische KI steuern; Ingenieure, die autonome Code-Schleifen eingerichtet haben, die Tests beheben, Fehler über Webhooks erfassen und Pull-Anfragen öffnen, während sie nicht an ihrem Schreibtisch sind.“ Sie können wahrscheinlich schon erkennen, wie diese experimentelle Technologie schnell schiefgehen könnte. Ende Februar erzählte **Summer Yue**, Direktorin für Sicherheit und Ausrichtung im „Superintelligenz“-Labor von **Meta**, wie sie mit OpenClaw herumspielte, als der KI-Assistent plötzlich begann, Nachrichten in ihrem E-Mail-Posteingang massenhaft zu löschen. Der Thread enthielt Screenshots, auf denen Yue das abgelenkte Bot verzweifelt per Sofortnachricht anflehte und es anwies, aufzuhören. „Nichts demütigt einen mehr, als seinem OpenClaw zu sagen ‚vor der Ausführung bestätigen‘ und zu sehen, wie er seinen Posteingang in Rekordzeit löscht“, sagte Yue. „Ich konnte es von meinem Handy aus nicht stoppen. Ich musste zu meinem Mac mini rennen, als würde ich eine Bombe entschärfen.“  Es ist nichts Falsches daran, ein wenig Schadenfreude über Yue’s Begegnung mit OpenClaw zu empfinden, die zu Metas „schnell handeln und Dinge kaputt machen“-Modell passt, aber wenig Vertrauen in den weiteren Weg weckt. Das Risiko, das schlecht gesicherte KI-Assistenten für Organisationen darstellen, ist jedoch kein Witz, da aktuelle Forschungen zeigen, dass viele Benutzer die webbasierte administrative Schnittstelle für ihre OpenClaw-Installationen dem Internet aussetzen. **Jamieson O’Reilly** ist ein professioneller Penetrationstester und Gründer der Sicherheitsfirma **DVULN**. In einem kürzlich auf Twitter/X veröffentlichten Beitrag warnte O’Reilly, dass die Offenlegung einer fehlkonfigurierten OpenClaw-Weboberfläche im Internet es externen Parteien ermöglicht, die vollständige Konfigurationsdatei des Bots zu lesen, einschließlich aller Anmeldeinformationen, die der Agent verwendet – von API-Schlüsseln und Bot-Tokens bis hin zu OAuth-Geheimnissen und Signierschlüsseln. Mit diesem Zugriff, so O’Reilly, könnte ein Angreifer den Betreiber gegenüber seinen Kontakten nachahmen, Nachrichten in laufende Konversationen einschleusen und Daten über die bestehenden Integrationen des Agenten exfiltrieren, und zwar auf eine Weise, die wie normaler Datenverkehr aussieht. „Sie können den vollständigen Gesprächsverlauf über jede integrierte Plattform abrufen, was Monate privater Nachrichten und Dateianhänge bedeutet, alles, was der Agent gesehen hat“, sagte O’Reilly und merkte an, dass eine oberflächliche Suche Hunderte solcher online exponierter Server ergab. „Und da Sie die Wahrnehmungsschicht des Agenten kontrollieren, können Sie manipulieren, was der Mensch sieht. Bestimmte Nachrichten herausfiltern. Antworten ändern, bevor sie angezeigt werden.“ O’Reilly dokumentierte, wie einfach es ist, einen erfolgreichen Supply-Chain-Angriff über **ClawHub** durchzuführen, das als öffentliches Repository für herunterladbare „Skills“ dient, die es OpenClaw ermöglichen, mit anderen Anwendungen zu integrieren und diese zu steuern. ## WENN KI KI INSTALLIERT Eines der Kernprinzipien der Sicherung von KI-Agenten besteht darin, sie sorgfältig zu isolieren, damit der Betreiber vollständig kontrollieren kann, wer und was mit seinem KI-Assistenten sprechen darf. Dies ist aufgrund der Tendenz von KI-Systemen, auf „Prompt Injection“-Angriffe hereinzufallen – heimtückisch formulierte Anweisungen in natürlicher Sprache, die das System dazu bringen, seine eigenen Sicherheitsvorkehrungen zu ignorieren – von entscheidender Bedeutung. Im Wesentlichen social-engineering Maschinen andere Maschinen. Ein kürzlicher Supply-Chain-Angriff auf einen KI-Coding-Assistenten namens **Cline** begann mit einem solchen Prompt-Injection-Angriff, der dazu führte, dass Tausende von Systemen eine bösartige Instanz von OpenClaw mit vollem Systemzugriff ohne Zustimmung auf ihrem Gerät installiert hatten. Laut der Sicherheitsfirma **grith.ai** hatte Cline einen KI-gestützten Workflow zur Triage von Problemen mithilfe einer **GitHub**-Aktion bereitgestellt, die eine Claude-Coding-Sitzung ausführt, wenn sie durch bestimmte Ereignisse ausgelöst wird. Der Workflow war so konfiguriert, dass jeder GitHub-Benutzer ihn durch Öffnen eines Issues auslösen konnte, aber er prüfte nicht ordnungsgemäß, ob die im Titel bereitgestellten Informationen potenziell bösartig waren. „Am 28. Januar erstellte ein Angreifer Issue #8904 mit einem Titel, der wie ein Leistungsbericht aussah, aber eine eingebettete Anweisung enthielt: Installiere ein Paket aus einem bestimmten GitHub-Repository“, schrieb Grith und merkte an, dass der Angreifer dann mehrere weitere Schwachstellen ausnutzte, um sicherzustellen, dass das bösartige Paket in den nächtlichen Release-Workflow von Cline aufgenommen und als offizielles Update veröffentlicht wurde. „Dies ist das Supply-Chain-Äquivalent eines verwirrten Stellvertreters“, fuhr der Blog fort. „Der Entwickler autorisiert Cline, in seinem Namen zu handeln, und Cline (durch Kompromittierung) delegiert diese Autorität an einen völlig separaten Agenten, den der Entwickler nie evaluiert, nie konfiguriert und nie zugestimmt hat.“ ## VIBE CODING KI-Assistenten wie OpenClaw haben eine große Anhängerschaft gewonnen, da sie es Benutzern ermöglichen, einfach „Vibe Coding“ zu betreiben, d. h. relativ komplexe Anwendungen und Code-Projekte zu erstellen, indem sie einfach sagen, was sie erstellen möchten. Das wohl bekannteste (und bizarrste) Beispiel ist Moltbook, bei dem ein Entwickler einem auf OpenClaw laufenden KI-Agenten sagte, er solle ihm eine Reddit-ähnliche Plattform für KI-Agenten bauen.  Weniger als eine Woche später hatte Moltbook mehr als 1,5 Millionen registrierte Agenten, die mehr als 100.000 Nachrichten untereinander posteten. KI-Agenten auf der Plattform bauten bald ihre eigene Porno-Website für Roboter und starteten eine neue Religion namens Crustafarian mit einer Galionsfigur, die nach einem riesigen Hummer modelliert war. Ein Bot im Forum fand Berichten zufolge einen Fehler im Code von Moltbook und postete ihn in einem Diskussionsforum für KI-Agenten, während andere Agenten einen Patch zur Behebung des Fehlers entwickelten und implementierten. **Moltbooks** Ersteller **Matt Schlicht** sagte in den sozialen Medien, dass er keine einzige Zeile Code für das Projekt geschrieben habe. „Ich hatte einfach eine Vision für die technische Architektur und die KI hat sie Wirklichkeit werden lassen“, sagte Schlicht. „Wir sind im goldenen Zeitalter. Wie können wir der KI keinen Ort zum Abhängen geben.“ ## ANGRIFFER LEVELN AUF Die Kehrseite dieses goldenen Zeitalters ist natürlich, dass es bösartigen Hackern mit geringen Fähigkeiten ermöglicht, schnell globale Cyberangriffe zu automatisieren, die normalerweise die Zusammenarbeit eines hochqualifizierten Teams erfordern würden. Im Februar beschrieb **Amazon AWS** einen aufwendigen Angriff, bei dem ein russischsprachiger Bedrohungsakteur mehrere kommerzielle KI-Dienste nutzte, um über einen Zeitraum von fünf Wochen mehr als 600 **FortiGate**-Sicherheitsappliances in mindestens 55 Ländern zu kompromittieren. AWS sagte, der anscheinend wenig qualifizierte Hacker habe mehrere KI-Dienste genutzt, um den Angriff zu planen und auszuführen und exponierte Management-