OpenClaw: KI-Agenten als globale Botnetz-Waffe gekapert

Ein kritischer Fehler im beliebten KI-Framework OpenClaw hat Zehntausende Systeme in ein globales Botnetz verwandelt. Die Schwachstelle mit dem Namen ClawJacked erlaubt es Kriminellen, lokal laufende KI-Assistenten über schädliche Webseiten zu übernehmen. Die gekaperte Rechenleistung wird bereits für massenhaftes Datenscraping, Konten-Übernahmen und Betrug genutzt. Der Vorfall offenbart die gravierenden Sicherheitsrisiken, wenn autonome KI-Systeme mit weitreichenden Systemrechten ausgestattet werden – ohne angemessene Absicherung.

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind: Neue Gesetze verschärfen die Lage – IT-Experten warnen vor teuren Konsequenzen. Dieser kostenlose Leitfaden zeigt, wie Sie Ihr Unternehmen mit einfachen Maßnahmen schützen. IT-Sicherheit stärken ohne teure neue Mitarbeiter

Offenes Framework, offene Türen: Der Aufstieg von OpenClaw

Im Zentrum der Attacke steht OpenClaw, ein Open-Source-Framework für autonome KI-Agenten. Nach dem Start Ende Januar 2026 erlebte das Projekt einen Hype: Über 60.000 Entwickler markierten es auf GitHub als favorisiert. Die Software verbindet große Sprachmodelle mit Messengern, Browsern und Systemressourcen, um komplexe Arbeitsabläufe automatisch auszuführen.

Doch eine Sicherheitsprüfung brachte über 500 Schwachstellen ans Licht. Die kritischste davon ist CVE-2026-25253, genannt ClawJacked. Sie nutzt aus, dass der OpenClaw-Gateway-Dienst standardmäßig eine WebSocket-Schnittstelle für den lokalen Rechner öffnet. Moderne Browser blockieren solche Verbindungen zu lokalen Adressen nicht. Eine bösartige Webseite kann so mit einem eingebetteten Skript unbemerkt eine Verbindung zum Gateway des Nutzers aufbauen.

Der eigentliche Clou: Das System deaktivierte standardmäßig die Geschwindigkeitsbegrenzung für lokale Verbindungen. Angreifer konnten so Management-Passwörter mit hunderten Versuchen pro Sekunde knacken – ohne jegliche Sicherheitsbremse.

Vom KI-Helfer zum Botnetz-Sklaven

Die Ausnutzung der Lücke entwickelte sich rasend schnell von einem theoretischen Risiko zu einer globalen Bedrohung. Wie das Galileo Threat Research Team von DataDome am 4. März 2026 berichtete, haben Kriminelle anfällige OpenClaw-Instanzen zu einem hochgradig organisierten Botnetz für Datenerfassung verbunden.

Das Problem: Viele Nutzer installierten die KI-Agenten mit den Standardeinstellungen und ohne starke Authentifizierung. Ihre Server waren damit für das öffentliche Internet vollständig zugänglich. Gleichzeitig überschwemmten Hunderte schädlicher Erweiterungen den zugehörigen Plugin-Marktplatz ClawHub, was die Systeme weiter kompromittierte.

Das resultierende Botnetz agiert global. Die höchste Dichte gekaperter Instanzen verzeichnet DataDome in Süd- und Südostasien, gefolgt von großen Clustern in Nordamerika und Europa. Die Infrastruktur läuft oft bei Billig-Cloud-Anbietern – ein Hinweis auf die niedrigen Einstiegshürden für das Framework.

Die kompromittierten Knoten sammeln derzeit massenhaft Produktlisten und Preisdaten. Sie dienen aber auch für aggressivere Operationen wie automatisierte Account-Übernahmen und Zahlungsbetrug. Die Tarnung ist perfekt: Der schädliche Traffic tarnt sich als legitimer Datenverkehr eines KI-Agenten, was die Entdeckung für Sicherheitsteams enorm erschwert.

So funktioniert der Angriff – und das ist jetzt zu tun

Der ClawJacked-Angriff benötigt keine aktive Mitwirkung des Opfers. Es reicht der Besuch einer präparierten Webseite. Ein eingebettetes Skript nutzt die lokale WebSocket-Verbindung, errät das Passwort binnen Sekunden und registriert den Angreifer als vertrauenswürdiges Gerät.

Damit erhält der Kriminelle volle Administrationsrechte. Er kann Authentifizierungs-Tokens stehlen, auf private Code-Repositories zugreifen und beliebige Befehle auf dem Rechner ausführen. Forscher von SonicWall betonen: Der Diebstahl der Tokens ermöglicht direkt die Ausführung von Fremdcode – die totale Kontrolle über die Arbeitsstation.

Das OpenClaw-Entwicklerteam veröffentlichte nach verantwortungsvoller Offenlegung der Lücke kritische Patches am 26. Februar 2026 (Versionen 2026.2.25 und 2026.2.26). Die Updates verschärfen die WebSocket-Sicherheitsprüfungen und entfernen die Ausnahme für lokale Verbindungen, die die Passwort-Attacken erst ermöglichte. Cybersicherheitsbehörden raten allen Nutzern dringend zur sofortigen Aktualisierung.

Zusätzlich empfehlen Experten:
* Die Standardkonfigurationen umgehend zu ändern
* Robuste Authentifizierung (starke, eindeutige Passwörter) einzurichten
* Die Berechtigungen lokal laufender KI-Agenten streng zu überprüfen und zu beschränken

Paradigmenwechsel: KI-Agenten als neue Angriffsfläche

Die rasche Weaponisierung von OpenClaw markiert einen fundamentalen Wandel in der Cybersicherheits-Landschaft. Getrieben wird er von der Verbreitung autonomer, „agentischer“ KI.

Analysten betonen: Diese Agenten stellen eine völlig neue Klasse nicht-menschlicher Identitäten in Unternehmensnetzwerken dar. Im Gegensatz zu traditionellen, eng begrenzten Chatbots sind Tools wie OpenClaw dafür designed, sensible Zugangsdaten zu speichern, ein persistentes Gedächtnis zu haben und eigenständig Aktionen auf verschiedenen Plattformen auszuführen.

Wird ein solches System kompromittiert, ist die Schadenswirkung um ein Vielfaches größer als bei einer Standard-Malware-Infektion. Es entspricht praktisch der vollständigen Übernahme der gesamten Entwicklungsumgebung.

Seit August 2024 gelten neue KI-Regeln – viele Unternehmen riskieren unwissentlich Bußgelder. Die EU-KI-Verordnung ist bereits in Kraft und regelt Anforderungen an solche Systeme. Dieser kostenlose Leitfaden zeigt Ihnen kompakt, was Sie jetzt bei der Nutzung und Dokumentation beachten müssen. Kostenlosen Umsetzungsleitfaden zur KI-Verordnung sichern

Die Branche steckt in einem Dilemma: Der Druck, die Produktivität zu maximieren, verleitet viele Entwickler dazu, grundlegende Sicherheitspraktiken gegen operative Bequemlichkeit einzutauschen. Die Vergabe von Systemrechten an schlecht gesicherte Open-Source-KI-Projekte schafft immense architektonische Risiken für Firmennetzwerke.

Hinzu kommt ein sekundäres Risiko: Da diese Agenten aktiv im Web unterwegs sind, sind sie anfällig für indirekte Prompt-Injections. Dabei manipuliert bösartiger Code auf einer Webseite das Verhalten des Agenten, ohne dass der Nutzer es merkt. Der OpenClaw-Vorfall ist ein Lehrstück dafür, wie verwundbar das aktuelle Ökosystem der KI-Agenten ist, wenn Geschwindigkeit über sichere Konfiguration gestellt wird.

Ausblick: Strenge Regeln für nicht-menschliche Mitarbeiter

Künftig wird die Integration autonomer KI-Agenten in Unternehmen voraussichtlich unter deutlich strengeren regulatorischen und internen Kontrollen stehen. Sicherheitsarchitekturen müssen sich schnell anpassen und KI-Agenten mit dem gleichen Zero-Trust-Ansatz behandeln wie menschliche Mitarbeiter oder traditionelle Dienstkonten.

Experten rechnen mit einem Anstieg spezialisierter Sicherheitslösungen, die speziell das Verhalten nicht-menschlicher KI-Identitaten überwachen, authentifizieren und beschränken sollen. Gleichzeitig wird erwartet, dass Bedrohungsakteure weiterhin Open-Source-KI-Frameworks auf ähnliche Schwachstellen absuchen.

Die Absicherung agentenbasierter Workflows und die Verhinderung der nächsten Generation von Botnetzen werden die Cybersicherheitsbranche auch über 2026 hinaus vor eine ihrer definierenden Herausforderungen stellen.

boerse | 68640411 |