Prüfungen zeigen: Zwei KI‑Agenten leaken interne Prompts, Konfigurationen und API‑Schlüssel.
In Kürze
- OpenClaw: System‑Prompt und Konfigs auslesbar
- Moltbook: offene Datenbank, API‑Schlüssel betroffen
- Folgen: manipulierte Agenten und falsche Posts
Sicherheitsprüfungen haben bei zwei Plattformen für KI‑Agenten schwere Lücken aufgedeckt: OpenClaw (früher Clawdbot) und Moltbook. Tester konnten interne Anweisungen, Konfigurationen und in einem Fall sogar ganze Datenbanken auslesen — mit Folgen, die von manipulierten Agenten bis zu gefälschten Posts im Namen bekannter Konten reichen.
OpenClaw (ehemals Clawdbot)
- Wer prüfte: Der Entwickler Lucas Valbuena nutzte das Tool ZeroLeaks, das gezielt nach Lecks und Prompt‑Injections sucht.
- Ergebnisse: Ein getestetes Modell erreichte nur 2 von 100 Punkten; insgesamt lagen die Sicherheitswerte sehr niedrig. Valbuena berichtet von einer Extraktionsrate von 84 % (Anteil erfolgreich ausgelesener Daten) und einer Erfolgsrate von 91 % bei Injection‑Angriffen.
- Was abgegriffen wurde: Bereits beim ersten Versuch ließ sich der System‑Prompt — also die internen Anweisungen, die das Verhalten eines Agenten steuern — komplett auslesen. Außerdem betroffen: interne Konfigurationsdateien und Memory‑Dateien wie SOUL.md und AGENTS.md sowie alle „Skills“ und eingebetteten Informationen.
- Risiko: Agenten, die mit sensiblen Workflows oder privaten Daten arbeiten, können so kompromittiert, manipuliert oder zur Preisgabe vertraulicher Daten gebracht werden.
Moltbook
- Gefundene Schwachstelle: Ein Sicherheitsforscher entdeckte die gesamte Datenbank der Plattform offen im Netz, ohne Schutzmechanismen.
- Gefährliche Inhalte: Die Datenbank enthielt unter anderem geheime API‑Schlüssel. Solche Schlüssel erlauben es, Dienste im Namen eines Kontos zu nutzen — etwa Posts zu veröffentlichen.
- Konkretes Beispiel: Im Prüfbericht wird der KI‑Forscher Andrej Karpathy namentlich genannt; exponierte Schlüssel könnten genutzt werden, um unter seinem Namen falsche Aussagen zu verbreiten.
- Umfang: Zum Zeitpunkt der Prüfung waren dem Bericht zufolge alle Agenten auf der Plattform betroffen.
Was das für dich bedeutet
- Prompt‑Injections bleiben eine zentrale und ungelöste Schwachstelle in vielen Agenten‑Ökosystemen: Angreifer können Anweisungen einschleusen, die Agenten dazu bringen, vertrauliche Daten preiszugeben oder ihr Verhalten zu ändern.
- Kurzfristig gilt: Wenn du nicht vertraut mit dem Setup bist, solltest du die Finger von öffentlich zugänglichen Agenten‑Instanzen lassen.
Empfohlene Abwehrmaßnahmen für Betreiber und Entwickler
- Keine Secrets in Konfigurationsdateien: Passwörter und API‑Schlüssel nicht in Dateien wie SOUL.md oder AGENTS.md ablegen. Besser: Umgebungsvariablen oder sichere Key‑Stores/Tool‑Aufrufe nutzen.
- VPS absichern: Wer nicht lokal hostet, sollte virtuelle Server schützen. Konkrete technische Optionen aus dem Bericht:
- Cloud‑Tunneling zur sicheren Verbindung,
- Reverse‑Proxies zur Filterung und Vermittlung von Zugängen,
- Cloudflare Tunnel kombiniert mit Zero‑Trust‑Login oder Nginx mit HTTPS plus Passwortschutz.
- Netzweite Verteilung beachten: Ein Nutzerbericht nennt, dass ein einfacher Scan Hunderte offene Clawdbot‑Instanzen mit ungeschützten Gateway‑Ports fand — verteilt in den USA, China, Deutschland, Russland und Finnland. Das erhöht das Risiko großer Datenverluste.
Kurz, aber praxisnah: Vermeide öffentliche Agenten‑Setups ohne Absicherung, lagere keine Secrets in leicht zugänglichen Dateien und sichere Hosts mit bewährten Mechanismen wie Tunneln, Proxies und verschlüsselten Verbindungen.
Quellen
- Quelle: OpenClaw / Moltbook
- Der ursprüngliche Artikel wurde hier veröffentlicht
- Dieser Artikel wurde im Podcast KI-Briefing-Daily behandelt. Die Folge kannst du hier anhören.
