Vibe-Coding: Über 140.000 Instanzen öffentlich zugänglich
Nur eine weitere Schwachstelle einer beliebten, aber notorisch unsicheren KI-Plattform?
Die kostenlose Open-Source-KI-Agentenplattform OpenClaw hat mehr als 140.000 Instanzen dem offenen Internet ausgesetzt. Forscher warnen vor einem systemischen Sicherheitsversagen.
Falls Sie bisher noch nie von OpenClaw gehört haben, sind Sie vermutlich nicht allein.
Vereinfacht betrachtet ist OpenClaw eine agentenbasierte Schnittstelle für große Sprachmodelle (LLMs). Sie nutzt Messaging-Plattformen wie Signal, Telegram und Discord als Benutzeroberfläche. Dank ihres kostenlosen und quelloffenen Lizenzmodells ist sie für eine breite Masse zugänglich. Genau in dieser Zugänglichkeit liegt jedoch auch die Hauptproblematik.
Sicherheitsprobleme und Forschungsergebnisse
Das STRIKE-Team für Bedrohungsinformationen von SecurityScorecard weist auf ein gravierendes Zugangs- und Identitätsproblem hin, das durch mangelhaft abgesicherte Automatisierung im großen Maßstab verursacht wird. Die komfortable Bereitstellung, Standardkonfigurationen und schwache Zugriffskontrollen machen leistungsstarke KI-Agenten zu attraktiven Zielen für Angreifer. Laut den Forschern sind zehntausende OpenClaw-Implementierungen mit dem Internet verbunden. Viele davon laufen auf veralteten Versionen und sind bereits mit früheren Sicherheitsvorfällen in Zusammenhang gebracht worden. Zudem konfigurieren Nutzer Bots häufig mit persönlichen Namen oder Firmennamen, was Rückschlüsse auf die Identität der Nutzer zulässt.
Weitere Schwachstellen und Bedrohungspotenzial
OpenClaw weist weitere Schwachstellen auf, etwa im sogenannten Skill-Store. Hier können Nutzer Erweiterungen, sogenannte „Skills“, für ihre Bots austauschen, jedoch tummeln sich dort zahlreiche schädliche Plugins. Die Skills sind nicht nur leicht zu cracken, sondern legen auch APIs und persönliche Informationen offen. Zum Zeitpunkt des ersten SecurityScorecard-Berichts waren 40.000 exponierte Instanzen bekannt, diese Zahl ist mittlerweile auf 142.000 gestiegen. Auf Declawed werden diese Bedrohungen derzeit nachverfolgt.
Systemische Schwächen und globale Verteilung
Generative und agentenbasierte KI-Tools wie OpenClaw bieten grundsätzlich großes Potenzial, da sie Menschen mehr Kontrolle über digitale Werkzeuge ermöglichen. Allerdings werden viele dieser Systeme ohne grundlegende Sicherheitsmaßnahmen betrieben. OpenClaw ist speziell dafür ausgelegt, KI-Agenten zu entwickeln, die Aufgaben automatisieren und mit externen Diensten interagieren. Dabei zeigen sich bekannte Risikomuster: verwaltende Schnittstellen mit Internetanbindung, privilegierte Identitäten, schwache oder fehlende Authentifizierungen, exponierte Tokens und API-Schlüssel sowie der Einsatz von Standardversionen, die anfällig sind. Besonders auffällig ist die Konzentration exponierter Instanzen bei wenigen großen Hosting-Anbietern – 45 % liegen auf Alibaba Cloud, davon 37 % in China. Dies deutet auf die wiederholte Nutzung unsicherer Deployment-Vorlagen hin. Die Studie kommt zum Schluss, dass es sich um ein systemweites Sicherheitsversagen handelt.
Absicht und strukturelle Risiken
Jeremy Turner, Vice President of Threat Intelligence and Research bei SecurityScorecard, erläutert, dass viele dieser Risiken absichtlich in Kauf genommen wurden, da OpenClaw auf Systemänderungen und zusätzliche Internetdienste ausgelegt ist. Er vergleicht dies mit dem Risiko, einer beliebigen Person Zugriff auf den eigenen Computer zu gewähren, ohne ausreichende Überwachung – insbesondere, wenn diese Person Anweisungen von unbefugten Dritten erhalten könnte.
Fazit und Ausblick
Die Autoren des Berichts warnen, dass das Sicherheitsmodell von KI-Agentenplattformen wie OpenClaw weitgehend unerforscht ist. Es sei zu erwarten, dass Angreifer ähnlich wie bei offenen Cloud-Konsolen, Datenbanken und Dateiübertragungssoftware vorgehen und Schwächen bei Komfort, Standardeinstellungen und Skalierung ausnutzen. Sicherheitsteams sollten jetzt aktiv werden und für vollständige Transparenz über die in ihrer Infrastruktur eingesetzten KI-Agenten sorgen.
Dieser Artikel erschien ursprünglich auf unserer Schwester-Website Computing.