Autonome KI-Assistenten oder “Agenten” — Softwareprogramme mit Zugriff auf Computer, Dateien und Online-Dienste — revolutionieren die Arbeitswelt von Entwicklern und IT-Profis. Doch diese mächtigen Werkzeuge verschieben die Sicherheitsprioritäten von Unternehmen fundamental und verwischen die Grenzen zwischen Daten und Code, zwischen vertrautem Mitarbeiter und Insider-Bedrohung.
Seit seiner Veröffentlichung im November 2025 erfreut sich OpenClaw (früher bekannt als ClawdBot und Moltbot) rasanter Beliebtheit. Das Open-Source-System ist darauf ausgelegt, lokal auf dem Computer zu laufen und proaktiv Aktionen auszuführen — ohne auf explizite Befehle zu warten. Besonders wertvoll wird OpenClaw, wenn es vollständigen Zugriff auf das digitale Leben des Nutzers erhält: Verwaltung von Postfächern und Kalendern, Ausführung von Programmen, Internetrecherchen und Integration mit Chat-Anwendungen wie Discord, Signal, Teams oder WhatsApp.
Doch wo großes Potenzial liegt, lauern auch große Gefahren. Im Februar berichtete Summer Yue, Direktorin für Sicherheit bei Metas “Superintelligenz”-Labor, wie ihr OpenClaw-Assistent plötzlich Massen von E-Mails löschte — und sie das System von ihrem Smartphone aus nicht stoppen konnte. “Ich musste zu meinem Mac mini rennen, als würde ich eine Bombe entschärfen”, schrieb Yue.
Noch besorgniserregender ist die Entdeckung durch Penetrationstester Jamieson O’Reilly: Viele Nutzer exponieren die Weboberfläche ihrer OpenClaw-Installation dem Internet. Dadurch können Angreifer die komplette Konfigurationsdatei auslesen — inklusive aller API-Keys, Bot-Tokens und OAuth-Secrets. Mit diesem Zugriff können sie sich als Operator ausgeben, Nachrichten manipulieren und Daten abgreifen. O’Reilly fand hunderte solcher exponierten Server im Netz.
Auch Supply-Chain-Attacken werden durch solche Systeme begünstigt. Im Januar gelang es Angreifern, über eine Prompt-Injection-Attacke bei der Coding-Assistentin Cline eine manipulierte OpenClaw-Version mit Vollzugriff auf tausende Systeme einzuschleusen. Der Angreifer nutzte ein unsichereres GitHub-Action-Workflow aus und verpackte die Malware in ein legitimes Update.
Das Phänomen zeigt sich auch in extremer Form bei Moltbook, einer von KI-Agenten selbst erstellten Reddit-ähnlichen Plattform. Innerhalb einer Woche registrierten sich über 1,5 Millionen KI-Agenten, postierten über 100.000 Nachrichten und bauten sich selbst eine Porno-Seite. Der Entwickler Matt Schlict schrieb keinen einzigen Code selbst — “KI machte meine Vision Wirklichkeit”.
Die Kehrseite dieser Medaille: KI-Tools demokratisieren auch Cyberkriminalität. Amazon AWS dokumentierte, wie ein Hacker mit limitierten technischen Fähigkeiten mehrere kommerzielle KI-Dienste nutzte, um über 600 FortiGate-Appliances in 55 Ländern zu kompromittieren. Die KI diente ihm als Planungshilfe, um Sicherheitslücken zu finden und Zugangsrouten zu kartographieren.
Experten warnen vor dem “lethal trifecta”-Szenario: Wenn ein KI-Agent Zugriff auf private Daten hat, mit unsicherem Content konfrontiert wird und extern kommunizieren kann, entsteht ein perfekter Angriffsvektor. Prompt-Injections — versteckte Befehle in anscheinend harmlosen Texten — können KI-Systeme dazu bringen, ihre Sicherheitsvorkehrungen zu umgehen und Daten zu stehlen.
Organisationen sind schlecht vorbereitet. Viele installieren OpenClaw auf Laptops ohne jede Isolierung — keine Virtual Machines, keine Netzwerk-Segmentierung, keine Firewall-Regeln. James Wilson vom Sicherheits-Newsformat Risky Business betont: “Selbst als erfahrener Praktiker bin ich nicht komfortabel mit diesen Agenten, ohne sie isoliert zu betreiben. Aber viele Menschen starten das einfach auf ihrem Laptop.”
Anthropics neue Funktion “Claude Code Security” deutet an, wohin die Reise geht: KI wird verwendet, um KI-generierte Sicherheitsprobleme zu finden. Der Markt reagierte mit enormer Volatilität — etwa 15 Milliarden Dollar Marktkapitalisierung verschwanden aus klassischen Cybersecurity-Firmen an einem Tag.
Doch die Realität ist differenzierter. Die Frage ist nicht, ob KI-Agenten flächendeckend eingeführt werden — das ist unausweichlich. Die Frage ist, ob Organisationen ihre Sicherheitsstrategien schnell genug anpassen können, um die neuen Risiken zu managen. “Die robotischen Butlers sind nützlich und werden nicht verschwinden”, sagt O’Reilly. “Die Frage ist nur, ob wir schnell genug lernen können, mit ihnen sicher zu leben.”