Der Open-Source-KI-Agent OpenClaw gerät zunehmend in den Fokus von Cybersicherheitsexperten. Die chinesische Behörde CNCERT hat auf WeChat vor erheblichen Sicherheitslücken gewarnt, die durch schwache Standardkonfigurationen und privilegierte Systemzugriffe entstehen.
Die größte Bedrohung geht von indirekten Prompt-Injektionen aus. Dabei manipulieren Angreifer Webseiteninhalte so, dass der KI-Agent beim Verarbeiten dieser Inhalte – etwa beim Zusammenfassen von Webseiten – bösartige Anweisungen ausführt. Dies kann zur Offenbarung sensibler Daten führen, ohne dass der Nutzer direkt mit einem Large Language Model (LLM) interagiert. Solche Attacken können auch als Cross-Domain Prompt Injection (XPIA) bezeichnet werden.
Forschungsgruppen haben bereits praktische Exploits demonstriert. Das Sicherheitsunternehmen PromptArmor zeigte, wie die Link-Preview-Funktion in Messaging-Apps wie Telegram oder Discord zur Datenexfiltration missbraucht werden kann. Der KI-Agent wird hierbei manipuliert, eine attacker-kontrollierte URL zu generieren, die beim Rendern der Link-Vorschau automatisch vertrauliche Daten an eine fremde Domain übermittelt – ohne dass ein Nutzer auf den Link klicken muss.
Für kritische Sektoren wie Finanzwesen und Energiewirtschaft sind die Auswirkungen potenziell katastrophal. CNCERT warnt vor der möglichen Preisgabe von Geschäftsdaten, Betriebsgeheimnissen und Quellcode-Repositories sowie dem kompletten Ausfall von Geschäftssystemen.
Zusätzlich zu Prompt-Injections identifizierte CNCERT drei weitere kritische Sicherheitsrisiken. Als Reaktion auf diese Bedrohungen haben die chinesischen Behörden bereits gehandelt: Staatsunternehmen und Regierungsbehörden wurde die Nutzung von OpenClaw-Anwendungen untersagt, die Sperrung erstreckt sich auch auf Familienangehörige von Militärpersonal.
Die wachsende Popularität von OpenClaw hat zudem Cyberkriminelle angelockt. Bedrohungsakteure verbreiten über manipulierte GitHub-Repositories gefälschte OpenClaw-Installer, die Malware wie den Information Stealer Atomic und Vidar Stealer, sowie das Golang-basierte Proxy-Malware GhostSocks enthalten. Das Sicherheitsunternehmen Huntress berichtet, dass solche Repositories zeitweise die Top-Suchergebnisse in Bings KI-gestützter Suche für OpenClaw-Windows-Installer waren.
Zur Risikominderung empfehlen Experten: Netzwerkkontrollen verstärken, den Standard-Management-Port nicht ins Internet exponieren, den Service containerisieren, Anmeldedaten nicht im Klartext speichern, Skills nur aus vertrauenswürdigen Quellen laden, automatische Skill-Updates deaktivieren und das System regelmäßig aktualisieren.