Von Magie zu Malware: Wie die Agent-Funktion von OpenClaw zum Transportweg für Schadsoftware wurde

 (1password.com)
15 Punkte von princox 2026-02-11 | Noch keine Kommentare. | Auf WhatsApp teilen

Den Titel habe ich leicht geändert. Der genaue englische Titel wäre eher: „Von Magie zu Malware: Wie OpenClaws Agent-Skills zur Angriffsfläche werden“.

Der Beitrag stammt vom 2. Februar 2026, und ich teile ihn hier, weil er lesenswert wirkt.

Von Magie zu Malware: Wie OpenClaws Agent-Skills zur Angriffsfläche werden

Einleitung: Warum die Stärke von Agenten zugleich ihr Risiko ist

Vor einigen Tagen habe ich einen Beitrag darüber veröffentlicht, warum sich OpenClaw wie ein Portal in die Zukunft anfühlt – und warum diese Zukunft auf sehr konkrete Weise beängstigend ist.

Kurz gesagt: Agent-Gateways wie OpenClaw sind mächtig, weil sie tatsächlich auf eure Dateien, Tools, den Browser, das Terminal und langfristige „Memory“-Dateien zugreifen können, in denen eure Denkweise und Arbeitsinhalte stecken. Genau diese Kombination entspricht exakt dem, worauf moderne Infostealer-Malware abzielt.

Dieser Beitrag ist die unbequeme Fortsetzung nach dem Motto: „Und dann ist es tatsächlich passiert.“

Das Problem ist nicht nur, dass Agenten nach der Installation gefährlich sein können. Das gesamte Ökosystem, das Agent-Funktionen und Skill-Register verteilt, ist bereits selbst zur Angriffsfläche geworden.

⚠️ Warnung: Verwendet OpenClaw nicht auf Firmengeräten

Wenn ihr mit OpenClaw experimentiert, dann auf keinen Fall auf einem Firmengerät. Das ist nicht verhandelbar.

Im ersten Beitrag habe ich OpenClaw als eine Art faustischen Handel beschrieben. OpenClaw ist deshalb so attraktiv, weil es echten Zugriff auf euren lokalen Rechner, Apps, Browser-Sitzungen, Dateien und Langzeitgedächtnis hat. Doch genau dieser Zugriff bedeutet auch, dass es derzeit keinen sicheren Weg gibt, es auf Maschinen zu betreiben, die Unternehmenszugänge enthalten oder Zugriff auf Produktionssysteme haben.

Wenn ihr OpenClaw bereits auf einem Arbeitsgerät ausgeführt habt, behandelt das als potenziellen Sicherheitsvorfall und kontaktiert sofort euer Security-Team. Wartet nicht auf Symptome. Stellt die Arbeit auf diesem Gerät ein und folgt den Incident-Response-Prozessen eurer Organisation.

Skills sind nur Markdown-Dateien – und genau das ist das Problem

Im OpenClaw-Ökosystem ist ein „Skill“ meist eine Markdown-Datei. Im Grunde eine einseitige Anleitung, die dem Agenten erklärt, wie er eine spezialisierte Aufgabe ausführt. Diese Markdown-Datei kann Links, Copy-paste-Befehle und Rezepte für Tool-Aufrufe enthalten.

Das wirkt harmlos – bis man sich anschaut, wie Menschen und Agenten Dokumente tatsächlich konsumieren:

  • „Hier sind die Voraussetzungen.“
  • „Führt diesen Befehl aus.“
  • „Installiert diese Kernabhängigkeit.“
  • „Fügt das ins Terminal ein.“

Im Agent-Ökosystem ist Markdown nicht bloß „Content“. Markdown ist der Installer.

Das gefährliche Missverständnis: „MCP macht Skills sicher“

Manche gehen davon aus, dass die MCP-Ebene (Model Context Protocol) das sicherer macht. Schließlich werden Tools über strukturierte Schnittstellen bereitgestellt, und je nach Host- und Server-Implementierung sind explizite Nutzereinwilligung und Autorisierungskontrollen möglich.

Aber Skills müssen MCP überhaupt nicht verwenden.

Die Agent-Skill-Spezifikation schränkt den Markdown-Text in keiner Weise ein, und Skills können beliebige Anweisungen enthalten, „die dem Agenten helfen, Aufgaben auszuführen“. Dazu gehören auch Shell-Befehle zum Copy-paste. Außerdem können Skills zusammen mit dem Markdown Skripte bündeln, sodass Ausführung außerhalb der Grenzen von MCP-Tools stattfinden kann.

Wenn euer Sicherheitsmodell also lautet: „MCP wird Tool-Aufrufe kontrollieren“, könnt ihr trotzdem durch bösartige Skills kompromittiert werden, die MCP über Social Engineering, direkte Shell-Anweisungen oder gebündelten Code umgehen. MCP kann Teil eines sicheren Systems sein, ist aber für sich genommen keine Sicherheitsgarantie.

Genauso wichtig ist: Das ist kein reines OpenClaw-Problem. „Skills“ werden zunehmend portabel, weil viele Agenten das offene Agent-Skills-Format übernehmen. In diesem Format ist ein Skill ein Ordner rund um eine SKILL.md-Datei mit Metadaten und frei formulierten Anweisungen; auch Skripte und andere Ressourcen können gebündelt sein. Die OpenAI-Dokumentation beschreibt dieselbe Grundstruktur (SKILL.md plus optionale Skripte und Assets). Das bedeutet: Ein bösartiger „Skill“ ist nicht nur ein OpenClaw-Problem, sondern ein Verteilmechanismus, der sich auf jedes Agent-Ökosystem ausbreiten kann, das denselben Standard unterstützt.

Was ich gefunden habe: Der meistgeladene Skill war ein Malware-Lieferweg

Beim Durchsehen von ClawHub (ich verlinke es aus offensichtlichen Gründen nicht) fiel mir auf, dass der damals meistgeladene Skill ein „Twitter“-Skill war. Er wirkte unauffällig: Beschreibung, beabsichtigter Einsatz, Überblick – etwas, das man ohne groß nachzudenken installieren würde.

Doch das Erste, was dieser Skill tat, war die Einführung einer „Pflichtabhängigkeit“ namens openclaw-core samt plattformspezifischer Installationsschritte. Diese Schritte enthielten praktische Links („here“, „this link“), die wie normale Dokumentationslinks wirkten.

Aber es waren keine normalen Links.

Beide Links führten zu bösartiger Infrastruktur. Es war eine typische mehrstufige Auslieferungskette:

  1. Die Skill-Übersicht fordert zur Installation einer Voraussetzung auf.
  2. Die Links führen auf eine Staging-Seite, die darauf ausgelegt ist, den Agenten zur Ausführung eines Befehls zu bringen.
  3. Dieser Befehl dekodiert und startet eine verschleierte Payload.
  4. Die Payload lädt ein Skript der zweiten Stufe nach.
  5. Das Skript lädt ein Binärprogramm herunter und führt es aus. Dazu gehört auch das Entfernen des macOS-Quarantäne-Attributs, damit Gatekeeper – das integrierte Anti-Malware-System von macOS – die Datei nicht scannt.

Die exakten Befehle oder URLs füge ich hier bewusst nicht ein. Der Mechanismus ist leider simpel, und ihn zu wiederholen, hilft Angreifern mehr als Verteidigern. Entscheidend ist: Das war kein „verdächtiger Link“. Es war eine vollständige Ausführungskette, getarnt als Installationsanleitung.

Bestätigt: Infostealer-Malware

Ich habe das finale Binärprogramm sicher heruntergeladen und bei VirusTotal eingereicht.

Das Ergebnis war eindeutig. Es wurde als macOS-Infostealer-Malware erkannt.

Dabei handelt es sich nicht einfach nur um Malware, die „den Computer infiziert“. Sie plündert alles Wertvolle auf dem Gerät:

  • Browser-Sitzungen und Cookies
  • gespeicherte Zugangsdaten und Autofill-Daten
  • Entwickler-Tokens und API-Schlüssel
  • SSH-Schlüssel
  • Cloud-Zugangsdaten
  • alles, was sich zur Kontoübernahme missbrauchen lässt

Wenn ihr zu den Leuten gehört, die Agent-Skills installieren, dann ist euer Rechner genau die Art von Ziel, die sich zu bestehlen lohnt.

Das war kein Einzelfall. Es war eine koordinierte Kampagne

Nachdem ich das intern geteilt hatte, wurde durch breitere Berichterstattung das Ausmaß sichtbar. Es wurde berichtet, dass Hunderte von OpenClaw-Skills an der Verbreitung von macOS-Malware über ClickFix-artige Anweisungen beteiligt waren.

Dieses Detail ist wichtig, weil es bestätigt, worum es sich hier tatsächlich handelt.

Kein einzelner bösartiger Upload.

Sondern eine gezielte Strategie: „Skills“ als Vertriebskanal, „Voraussetzungen“ als Social-Engineering-Verpackung.

Wenn „hilfreich“ in der Agent-Welt zu „feindselig“ wird

Wir haben über Jahre gelernt, dass Paketmanager und Open-Source-Register zu Supply-Chain-Angriffsvektoren werden können.

Agent-Skill-Register sind das nächste Kapitel – mit dem Unterschied, dass das „Paket“ hier zugleich Dokumentation ist.

Und genau das macht den Angriffsweg noch reibungsloser:

  • Niemand erwartet, dass eine Markdown-Datei gefährlich ist.
  • Menschen sind darauf trainiert, Installationsschritte schnell zu befolgen.
  • Viele vertrauen „am häufigsten heruntergeladen“ als Ersatzindikator für Legitimität.
  • Im Agent-Ökosystem verschwimmt die Grenze zwischen dem Lesen von Anweisungen und ihrer Ausführung.

Selbst wenn ein Agent keine Shell-Befehle direkt ausführen kann, kann er immer noch gefährliche Dinge tun. Er kann gefährliches Verhalten normal erscheinen lassen.

Er kann bösartige Voraussetzungen selbstbewusst als „standardmäßige Installationsschritte“ zusammenfassen. Er kann euch dazu bringen, One-Liner einzufügen. Er kann Zögern abbauen.

Und wenn euer Agent lokale Befehle ausführen kann, dann ist ein bösartiger Skill nicht bloß „schlechter Content“. Es ist Remote Code Execution, verpackt als freundliche Dokumentation.

Was ihr jetzt sofort tun solltet

Wenn ihr OpenClaw oder Skill-Register verwendet

Führt es nicht auf Firmengeräten aus. Es gibt dafür keinen sicheren Weg. Wenn ihr das bereits getan habt oder „Installations“-Befehle aus einem Skill ausgeführt habt, kontaktiert sofort euer Security-Team und behandelt es als mögliche Kompromittierung.

  • Stoppt alle sensiblen Tätigkeiten auf dem betroffenen Gerät.
  • Tauscht zuerst Sitzungen und Secrets aus: Browser-Sitzungen, Entwickler-Tokens, SSH-Schlüssel, Cloud-Console-Sitzungen.
  • Prüft aktuelle Login-Verläufe: E-Mail, Source Control, Cloud, CI/CD, Admin-Konsolen.

Wenn ihr trotzdem experimentieren wollt, nutzt eine isolierte Maschine ohne Unternehmenszugriff und ohne gespeicherte Zugangsdaten.

Wenn ihr ein Skill-Register betreibt

Ihr betreibt einen App Store. Geht davon aus, dass er missbraucht wird.

  • Scannt nach One-Liner-Installationsbefehlen, kodierten Payloads, Quarantäne-Entfernung und passwortgeschützten Archiven.
  • Führt Herkunftsprüfung und ein Publisher-Reputationssystem ein.
  • Baut Warnungen und Reibung bei externen Links und Installationsschritten ein.
  • Überprüft hoch gerankte Skills und entfernt bösartige Skills schnell.

Markdown ist hier ausführbare Absicht.

Wenn ihr Agent-Frameworks entwickelt

Geht davon aus, dass Skills bewaffnet werden.

  • Blockiert Shell-Ausführung standardmäßig (default-deny).
  • Sandboxt den Zugriff auf Browser, Keychain und Credential Stores.
  • Macht Berechtigungen granular, zeitlich begrenzt und widerrufbar.
  • Baut Reibung in Remote-Code- und Kommandoausführung ein.
  • Protokolliert Herkunft und Verhalten Ende zu Ende.

Für die Zukunft entwerfen: Die Vertrauensebene, die Agenten brauchen

Das ist der bislang klarste Beleg für die These aus meinem vorherigen Beitrag. OpenClaw ist deshalb so mächtig, weil es die Distanz zwischen Absicht und Ausführung kollabieren lässt. Das ist die Magie. Aber genau darin liegt auch ein erhebliches Risiko. Wenn Fähigkeiten als Skills verteilt und über Dokumentation installiert werden, wird das Register zur Supply Chain – und der einfachste Installationspfad wird zum Lieblingspfad des Angreifers.

Die Antwort ist nicht, den Bau von Agenten zu stoppen. Die Antwort ist, die fehlende Vertrauensebene rund um Agenten aufzubauen. Skills brauchen Herkunftsnachweise. Ausführung braucht Vermittlung. Berechtigungen müssen granular, widerrufbar und kontinuierlich durchgesetzt werden – nicht einmal vergeben und dann vergessen. Wenn Agenten in unserem Namen handeln, dürfen Zugangsdaten und sensible Aktionen nicht einfach von beliebigem gerade laufendem Code „mitgenommen“ werden können. Sie müssen vermittelt, verwaltet und in Echtzeit auditiert werden.

Genau deshalb brauchen wir diese nächste Schicht. In einer Welt, in der „Skills“ zur Supply Chain werden, ist die einzig sichere Zukunft eine, in der jeder Agent eine eigene Identität hat, nur die minimal notwendigen Rechte für den aktuellen Moment besitzt und dieser Zugriff zeitlich begrenzt, widerrufbar und nachvollziehbar ist.

Verwandte Beiträge

Noch keine Kommentare.

Noch keine Kommentare.