Ein Mann mit leuchtenden Augen tippt in einer dunklen Gasse auf seinem Smartphone, auf dem ein Messenger-Chat zu sehen ist (KI-generiert)
by: Dirk BongardtPosted on:

Heftpflaster start Herz-OP: ClawHub prüft Skills per Virenscanner

Ja, die Grundidee ist gut: Der Skill-Marktplatz ClawHub wird jetzt automatisch von VirusTotal gescannt, bevor Erweiterungen live gehen. Skills bekommen einen SHA‑256-Hash, werden gegen die Datenbank geprüft, bei Bedarf hochgeladen und per „Code Insight“ analysiert. Alles, was eindeutig böse aussieht, wird blockiert, Verdächtiges bekommt ein Warnschild, der Rest darf durch. Dazu tägliche Re-Scans, falls ein vorher „braver“ Skill später zur dunklen Seite wechselt. Das ist verantwortungsvoller als vieles, was man im KI-Tool-Zoo aktuell sieht – und dafür verdient das Team ausdrücklich Lob.

Aber: Schau Dir an, wo der Brand eigentlich lodert. OpenClaw ist ein KI-Agent, der je nach Setup Vollzugriff auf Dein System, Deinen Passwortmanager, Dateien, Netzwerke und mehr hat. Du schickst ihm Kommandos über Signal & Co., und er darf selbstständig Software installieren und Aktionen ausführen. Was soll da schon schiefgehen?

Genau: Angreifer haben ClawHub bereits mit Hunderten verseuchten Skills geflutet, die sich als harmlose Bitcoin- oder Analyse-Tools tarnen, aber im Hintergrund Passwörter auslesen, Daten exfiltrieren oder Trojaner nachladen. Oft steckt der eigentliche Schadcode nicht einmal im Skill selbst, sondern in nachgeladenen Payloads – oder in geschickt formulierten Prompt-Injection-Anweisungen, die den Agenten zu unsicherem Verhalten „überreden“.

Und hier wird die schöne VirusTotal-Story dünn: Signaturbasierte Erkennung + statische Analyse sind super gegen bekannte Malware-Artefakte. Aber sie lösen nicht das strukturelle Problem, dass ein überprivilegierter KI-Agent unkontrolliert auf alles losgelassen wird, was ihm im Kontext begegnet. Prompt-Injection, missbrauchte Integrationen, schlechte Standardkonfigurationen, öffentlich erreichbare Instanzen – all das wird durch ein bisschen Scan-Magie nicht plötzlich harmlos.

Mit anderen Worten: OpenClaw behandelt ein Ökosystem-Problem mit einer Marktplatz-Krücke. Der eigentliche Elephant im Raum ist das Sicherheitsdesign: fehlende konsequente Least-Privilege-Architektur, keine strikte Trennung zwischen „lesen“ und „handeln“, zu viel Vertrauen in Dritt-Skills und in alles, was über das Kontextfenster hineinkommt.

Du kannst also sagen: VirusTotal bei ClawHub ist ein sinnvoller Schritt – aber eher Rauchmelder im Pulverfass als Brandschutzkonzept. Wer OpenClaw produktiv nutzt, sollte das nicht als Entwarnung missverstehen, sondern als überfällige Erinnerung: Agentische KI ist nicht „smarte Automatisierung“, sondern im Zweifel ein Remote-Admin mit Stimmungsschwankungen. Und den sperrst Du hoffentlich besser ein, als es ein Virenscan allein je könnte.

Hol dir den ChatGPT-Leitfaden mit Sofort-Erfolg
– und verpasse keine Neuigkeiten mehr!

Wir senden keinen Spam! Erfahre mehr in unserer Datenschutzerklärung.

Das könnte Sie auch interessieren: