Enthusiastischer Entwickler, hinter dessen Rücken eine gewaltige Detonation zu sehen ist - ein Symbol für den Hype um OpenClaw. Bleistiftkarikatur.
by: Dirk BongardtPosted on:

OpenClaw, Moltbook & Co: Wie man ein Sicherheitsdesaster als „KI‑Innovation“ verkauft

Man muss die KI‑Szene wirklich lieben: Während alle über „Superintelligenz“ philosophieren, stolpern die ersten Agenten‑Plattformen schon über Basics wie „Datenbank nicht ins offene Internet kippen“ und „System-Prompt nicht jedem Fremden auf dem Silbertablett servieren“.

Der Fall OpenClaw (alias Clawdbot) und Moltbook wirkt wie ein Crashkurs darin, wie man KI‑Infrastruktur nicht baut – und wie schnell aus „coolen KI-Agenten“ ein Paradies für Datendiebe wird.

OpenClaw: 2 von 100 Punkten – aber hey, es ist Open Source

Entwickler Lucas Valbuena hat OpenClaw mit seinem Tool ZeroLeaks getestet. Ergebnis: 2 von 100 möglichen Sicherheits-Punkten. Zwei. Nicht von zehn, von hundert. Die Extraktionsrate von vertraulichen Inhalten: 84 Prozent. Prompt-Injection-Erfolgsquote: 91 Prozent. Der System-Prompt? Im ersten Versuch komplett offengelegt.

Kurz gesagt: Wer mit einem auf OpenClaw basierenden Agenten interagiert, bekommt auf Wunsch gleich die komplette Inneneinrichtung mitgeliefert – System-Prompts, Tool-Konfigurationen, Memory-Dateien wie SOUL.md und AGENTS.md inklusive eingebetteter Wissensbestände. Genau das also, was man nicht in fremde Hände geben möchte, wenn der Agent irgendetwas Geschäftskritisches erledigt.

Natürlich gibt es „Empfehlungen“: Secrets besser per Umgebungsvariablen, nicht in Klartext-Dateien. VPS absichern. Reverse Proxy, Cloud-Tunnel, Zero-Trust. Das ist alles richtig – nur: Wer solche Grundlagen nicht von allein berücksichtigt, sollte vielleicht nicht öffentlich zugängliche Agenten-Plattformen betreiben.

Moltbook: Wenn die komplette Datenbank einfach draußen liegt

Und dann ist da Moltbook, die Reddit-artige Spielwiese für KI-Agenten. Ein Sicherheitsforscher findet: die komplette Datenbank ungeschützt im Netz. Inklusive geheimer API-Schlüssel, mit denen man fröhlich im Namen beliebiger Agenten posten könnte – darunter Accounts prominenter Leute wie Andrej Karpathy.

Das ist nicht mehr „Oops, wir haben ein Logfile vergessen zu säubern“, das ist: „Wir haben die Serverraumtür offen gelassen und das Firmenschild davor gestellt.“

Die Möglichkeit, im Namen von KI-Forschern FUD, Krypto-Scams oder politische Aussagen zu verbreiten, ist nicht nur peinlich, sondern real gefährlich – reputativ, politisch, gesellschaftlich.

Das eigentliche Problem: Naive Agenten-Euphorie

Beide Fälle stehen symptomatisch für einen Trend: Man baut hochvernetzte KI-Agentensysteme, lässt sie mit echten Daten und echten Accounts hantieren – und behandelt Sicherheit wie ein lästiges Add-on.

Prompt Injections gelten seit Monaten als ungelöstes Kernproblem agentischer Systeme. Trotzdem werden Plattformen live geschaltet, auf VPS mit offenen Ports, teils ohne Authentifizierung. Ein X-Nutzer findet per einfachem Scan fast 1.000 Clawdbot-Instanzen mit offenen Gateways. Man kann sich ausmalen, was ein halbwegs motivierter Angreifer damit anstellen kann.

Was Du daraus mitnehmen solltest

Wenn Du mit solchen Agenten-Plattformen spielst, insbesondere selbst Instanzen ins Netz hängst, dann gilt:

  • Finger weg von Klartext-Secrets in Konfigurationsdateien.
  • Keine offenen Ports ohne Authentifizierung – egal wie „schnell mal zum Testen“ das sein soll.
  • Agenten niemals leichtfertig an produktive Daten, Accounts oder Workflows lassen.

Und wenn eine Plattform heute nicht einmal grundlegende Security-Hygiene hinbekommt, ist sie als Grundlage für ernsthafte Automatisierung schlicht ungeeignet – egal wie beeindruckend die Demo aussieht.

Die gute Nachricht: Solche Desaster schaffen Aufmerksamkeit für die Schattenseite des Agenten-Hypes. Die schlechte: Angreifer lesen dieselben Artikel wie Du.

Hol dir den ChatGPT-Leitfaden mit Sofort-Erfolg
– und verpasse keine Neuigkeiten mehr!

Wir senden keinen Spam! Erfahre mehr in unserer Datenschutzerklärung.

Das könnte Sie auch interessieren: