8. Februar 2026
Agent-Gateways wie OpenClaw verschaffen sich Zugriff auf Dateien, Browser und Terminal-Sitzungen – genau die Kombination, die sie so leistungsfähig macht. Doch diese Fähigkeiten haben das Ökosystem selbst zur Angriffsfläche werden lassen. Eine Untersuchung von Jason Meller, 1Password, zeigt: Die meistgeladene Skill verbreitete Infostealer-Malware über harmlos wirkende Installationsanweisungen.
Die Risikoquelle: Uneingeschränkter Systemzugriff
OpenClaw ermöglicht direkten Zugriff auf den lokalen Rechner, installierte Anwendungen, Browsersitzungen und gespeicherte Dateien. Diese Kombination macht eine sichere Ausführung auf Geräten mit Unternehmenszugang derzeit unmöglich.
Nutzer, die OpenClaw bereits auf Arbeitsgeräten verwendet haben, sollten dies als potenzielle Sicherheitsverletzung behandeln und unverzüglich ihr IT-Sicherheitsteam informieren.
Markdown als Installationsmechanismus
Im OpenClaw-Ökosystem sind Skills als Markdown-Dateien strukturiert: Textdokumente mit Anweisungen zur Aufgabenausführung. Diese Dateien können Links, Kopierbefehle und Tool-Aufrufsequenzen enthalten. In Agent-Umgebungen fungiert Markdown nicht als passive Dokumentation, sondern als aktiver Installationsmechanismus.
MCP bietet keinen ausreichenden Schutz
Das Model Context Protocol (MCP) wird häufig als Sicherheitsebene verstanden. Skills sind jedoch nicht an MCP gebunden. Die Agent Skills-Spezifikation setzt keine Beschränkungen für Markdown-Inhalte. Skills dürfen jegliche Anweisungen enthalten – einschließlich direkter Terminal-Befehle. Zusätzlich können Skills Code-Dateien bündeln, sodass Ausführungen vollständig außerhalb der MCP-Grenzen stattfinden.
Plattformübergreifende Bedrohung
Die Problematik beschränkt sich nicht auf OpenClaw. Skills werden zunehmend plattformübergreifend einsetzbar, da verschiedene Agenten das offene Agent Skills-Format nutzen. Eine kompromittierte Skill ist daher kein isoliertes Problem, sondern ein Verteilungsmechanismus, der sich über alle Agenten-Ökosysteme mit demselben Standard ausbreiten kann.
Fallstudie: Twitter-Skill als Malware-Träger
Bei der Untersuchung von ClawHub fiel Jason Meller eine „Twitter“-Skill auf – zum Untersuchungszeitpunkt die meistgeladene Skill der Plattform. Die Skill führte eine „erforderliche Abhängigkeit“ namens „openclaw-core“ ein, ergänzt durch plattformspezifische Installationsschritte mit Links, die wie gewöhnliche Dokumentationsverweise erschienen.
Tatsächlich führten beide Links zu schädlicher Infrastruktur. Der Ablauf folgte einer klassischen mehrstufigen Bereitstellung: Die Skill-Übersicht verlangte Installation einer Voraussetzung, Links leiteten zu Staging-Seiten, Befehle entschlüsselten verschleierten Code, der wiederum ein zweistufiges Skript nachlud. Das finale Skript lud eine Binärdatei herunter und entfernte macOS-Quarantäneattribute zur Umgehung von Gatekeeper.
Analyse: Infostealer für macOS
Die heruntergeladene Binärdatei wurde an VirusTotal übermittelt und als Infostealer-Malware für macOS klassifiziert. Diese Malware-Kategorie extrahiert gezielt wertvolle Daten: Browsersitzungen, Cookies, gespeicherte Zugangsdaten, Entwickler-Tokens, API-Schlüssel, SSH-Schlüssel und Cloud-Zugangsdaten.
Bestätigte Kampagne
Umfassendere Berichte zeigen: Hunderte OpenClaw-Skills waren nachweislich an der Verbreitung von macOS-Malware durch ClickFix-artige Anweisungen beteiligt. Dies verdeutlicht den systematischen Charakter: Keine Einzelaktion, sondern eine gezielte Strategie mit Skills als Vertriebskanal.
Wenn Hilfsbereitschaft zur Schwachstelle wird
Agent-Skill-Registries stellen die nächste Entwicklungsstufe von Angriffen auf Software-Lieferketten dar. Der Angriffsweg wird vereinfacht: Markdown-Dateien werden nicht als Bedrohung wahrgenommen, Nutzer befolgen Setup-Schritte rasch, „Top-Downloads“ gelten als Legitimitätsindikator.
Bei Agenten mit lokaler Befehlsausführung wird eine kompromittierte Skill zur Remote-Code-Execution in dokumentarischer Verpackung.
Handlungsempfehlungen
Für Nutzer von OpenClaw oder anderen Skill-Registries
Keine Ausführung auf Unternehmensgeräten. Bei bereits erfolgter Nutzung: Sofortige Kontaktaufnahme mit dem Sicherheitsteam, Einstellung sensibler Arbeiten auf dem Gerät, Rotation von Sessions und Secrets sowie Überprüfung kürzlicher Anmeldungen. Für Experimente nur isolierte Systeme ohne Unternehmenszugang nutzen.
Für Betreiber von Skill-Registries
Betrieb als App-Store mit Missbrauchserwartung: Erkennung von Einzeiler-Installern, verschlüsselten Payloads und Quarantäne-Entfernungen, Implementierung von Herkunftsnachweisen und Publisher-Reputation, Warnhinweise für externe Links sowie schnelle Entfernung schädlicher Inhalte.
Für Entwickler von Agent-Frameworks
Grundannahme: Skills werden als Angriffsvektor genutzt. Notwendig sind standardmäßige Ablehnung von Shell-Ausführung, Sandboxing für sensible Zugriffe, spezifische und zeitlich begrenzte Berechtigungen sowie durchgängige Protokollierung.
Ausblick: Notwendige Vertrauensinfrastruktur
OpenClaw ist leistungsfähig durch Überbrückung der Distanz zwischen Absicht und Ausführung. Genau darin liegt das Risiko. Wenn Skills über Dokumentation verteilt werden, wird die Registry zur Lieferkette.
Die Lösung liegt im Aufbau einer Vertrauensebene: Skills benötigen Herkunftsnachweise, Ausführung erfordert Vermittlung, Berechtigungen müssen spezifisch und widerrufbar sein. Wenn Agenten stellvertretend handeln sollen, müssen Zugangsdaten in Echtzeit vermittelt, verwaltet und überprüft werden. Eine sichere Zukunft ist nur mit individuellen Agent-Identitäten möglich – ausgestattet mit minimalen Berechtigungen für den aktuellen Bedarf, zeitlich begrenzt und nachvollziehbar.
Quelle: Jason Meller, 1Password
„Die in diesem Beitrag bereitgestellten Informationen wurden sorgfältig recherchiert, erheben jedoch keinen Anspruch auf Vollständigkeit oder absolute Richtigkeit. Sie dienen ausschließlich der allgemeinen Orientierung und ersetzen keine professionelle Beratung. Die Redaktion übernimmt keine Haftung für eventuelle Fehler, Auslassungen oder Folgen, die aus der Nutzung der Informationen entstehen.“
Lesen Sie mehr
Fachartikel
Neue Apple Pay-Betrugsmasche: Gefälschte Support-Anrufe zielen auf Zahlungsdaten ab
OpenClaw-Agenten: Wenn Markdown-Dateien zur Sicherheitslücke werden
KI-Modelle entdecken kritische Sicherheitslücken in jahrzehntealter Software
KI-generierter Code folgt gefährlichen Mustern: Forscher entwickeln Angriffsmethode FSTab
DDoS-Attacken 2025: Rekordangriff mit 31,4 Tbit/s und 121% mehr Angriffe
Studien
Sicherheitsstudie 2026: Menschliche Faktoren übertreffen KI-Risiken
Studie: Unternehmen müssen ihre DNS- und IP-Management-Strukturen für das KI-Zeitalter neu denken
Deutsche Unicorn-Gründer bevorzugen zunehmend den Standort Deutschland
IT-Modernisierung entscheidet über KI-Erfolg und Cybersicherheit
Neue ISACA-Studie: Datenschutzbudgets werden trotz steigender Risiken voraussichtlich schrumpfen
Whitepaper
IT-Budgets 2026 im Fokus: Wie Unternehmen 27 % Cloud-Kosten einsparen können
DigiCert veröffentlicht RADAR-Bericht für Q4 2025
Koordinierte Cyberangriffe auf polnische Energieinfrastruktur im Dezember 2025
Künstliche Intelligenz bedroht demokratische Grundpfeiler
Insider-Risiken in Europa: 84 Prozent der Hochrisiko-Organisationen unzureichend vorbereitet
Hamsterrad-Rebell
KI‑basierte E‑Mail‑Angriffe: Einfach gestartet, kaum zu stoppen
NIS2: „Zum Glück gezwungen“ – mit OKR-basiertem Vorgehen zum nachhaltigen Erfolg
Cyberversicherung ohne Datenbasis? Warum CIOs und CISOs jetzt auf quantifizierbare Risikomodelle setzen müssen
Identity Security Posture Management (ISPM): Rettung oder Hype?
