Ein Konto schleuste 300+ Malware‑Skills in OpenClaw

300+ OpenClaw‑Skills enthielten Malware; ein Konto verantwortlich. VirusTotal scannt Uploads.

In Kürze

• 300+ schädliche Skills
• VirusTotal‑Scan
• Prompt‑Risiko

Hunderte Erweiterungen für den selbst gehosteten KI-Agenten OpenClaw enthielten Schadsoftware — und ein einzelnes Nutzerkonto ist dafür verantwortlich: Das Profil hightower6eu hatte mehr als 300 der sogenannten „Skills“ auf der Plattform ClawHub hochgeladen, wie OpenClaw und VirusTotal mitteilen.

Die Masche war tückisch: Trojaner und Datendiebe wurden als nützliche Erweiterungen versteckt. Viele der Skills enthielten keinen offensichtlichen Schadcode, sondern lieferten Anweisungen an den Agenten, externe Dateien herunterzuladen und auszuführen. Unter den geladenen Programmen tauchte etwa der macOS-Trojaner Atomic Stealer auf.

Warum das besonders gefährlich ist

OpenClaw läuft lokal auf deinem Rechner und kann echte Aktionen ausführen — etwa Shell-Befehle absetzen, Dateien verändern oder Netzwerkanfragen stellen. „Skills“ sind Erweiterungen, die dem Agenten neue Fähigkeiten geben. Weil der Agent tatsächlich Operationen auf dem System ausführt, können manipulierte Skills direkte Folgen haben: Datenabfluss, Installation von Malware oder ungewollte Systembefehle.

So reagiert OpenClaw

Gründer Peter Steinberger hat eine Partnerschaft mit VirusTotal angekündigt. Alle auf ClawHub hochgeladenen Skills werden jetzt automatisch durch VirusTotal gescannt. Zum Einsatz kommt unter anderem die KI-gestützte Analysefunktion „Code Insight“ (auf Basis von Googles Gemini). Diese Funktion bewertet Verhaltensindikatoren — zum Beispiel, ob ein Skill externe Dateien lädt, auf sensible Daten zugreift oder zu unsicherem Verhalten verleitet.

Praktisch läuft das so ab:

• Als harmlos eingestufte Skills werden automatisch freigegeben,
• verdächtige erhalten eine Warnung und
• eindeutig schädliche Skills werden sofort gesperrt.
• Zusätzlich finden tägliche Nachprüfungen aktiver Skills statt.

Das reicht nicht vollständig

Die Sicherheitslücke offenbart ein grundsätzlicheres Problem bei agentischen KI-Systemen: Sprachmodelle arbeiten probabilistisch und reagieren flexibel auf natürliche Sprache — das schafft Angriffsflächen. Schon zuvor gab es Berichte über schwere Schwachstellen in OpenClaw und ähnlichen agentischen Umgebungen (Beispiele: Claude Opus, GPT-5.2). Besonders schwer zu stoppen sind gezielte Sprachangriffe („Prompt Injections“), bei denen harmlose- oder trickreiche Textanweisungen missbräuchliches Verhalten auslösen.

Als verlässlichste Gegenmaßnahme gilt derzeit, die operationellen Fähigkeiten solcher Modelle stark einzuschränken — genau das, was viele dieser Systeme nicht leisten wollen. Die VirusTotal-Partnerschaft reduziert Risiken und automatisiert Kontrolle, ersetzt aber keinen vollständigen Schutz gegen sprachbasierte Angriffe oder hoch gezielte Manipulation.

Weitere Schritte

Steinberger betont, dass Sicherheit mehrere Schutzschichten braucht und bezeichnet die Zusammenarbeit mit VirusTotal als einen von mehreren Schritten. OpenClaw hat zudem Jamieson O’Reilly (Gründer von Dvuln) als leitenden Sicherheitsberater engagiert; weitere Maßnahmen sind angekündigt.

Quellen

• Blogpost von VirusTotal
• Mitteilung von OpenClaw

Quellen

• Quelle: OpenClaw / VirusTotal
• Der ursprüngliche Artikel wurde hier veröffentlicht
• Dieser Artikel wurde im Podcast KI-Briefing-Daily behandelt. Die Folge kannst du hier anhören.