Du hast OpenClaw installiert, weil ein Kollege nicht aufhören konnte, davon zu schwärmen. Ein KI-Agent — ein Programm, das Aufgaben auf deinem Rechner erledigt, ohne dass du jeden Button klicken musst — verwaltet deine Dateien, E-Mails und den Kalender. Du hast ihm Shell-Zugriff gegeben (die Erlaubnis, Befehle direkt auf deinem Betriebssystem auszuführen). Alles lief geschmeidig. Automatisiert. Entspannt.

Niemand hat erwähnt, dass das Ding, das Befehle auf deinem Laptop ausführt, das gleiche Sicherheitsmodell hat wie ein unmoderierter App Store von 2014. Jeder mit einem eine Woche alten GitHub-Account konnte einen 'Skill" — ein Plugin, das die Fähigkeiten von OpenClaw erweitert — auf ClawHub hochladen, den offiziellen Marktplatz. Kein Review. Kein Scanning. Keine Signaturen. Nur gute Vibes.

Am 27. März 2026 lieferte OpenClawd ein Sicherheitsupdate mit verifiziertem Skill-Screening und Runtime-Sandboxing — isolierte Container, die verhindern, dass Plugins irgendetwas außerhalb ihrer Box anfassen. Das kam acht Wochen nachdem Sicherheitsforscher von Koi Security herausfanden, dass 341 von 2.857 ClawHub-Skills Malware waren. Das sind 11,9 %. Fast jeder achte.

Hier die Chronologie. Am 30. Januar patchte OpenClaw CVE-2026-25253 — eine Schwachstelle (ein Sicherheitsfehler, der ernst genug ist, um eine offizielle Tracking-Nummer zu bekommen) mit einem Schweregrad von 8,8 von 10. Die Lücke erlaubte es Angreifern, einen einzigen Link zu präparieren, der beim Klicken dein Authentication Token stahl (den digitalen Schlüssel, der beweist, dass du du bist) und ihnen vollständige Remote Code Execution gab — die Möglichkeit, jeden Befehl auf deinem Rechner auszuführen, als säßen sie an deiner Tastatur.

Drei Tage zuvor, am 27. Januar, war der erste bösartige Skill bereits auf ClawHub aufgetaucht. Bis zum 31. Januar lud ein Account namens hightower6eu massenhaft in jede Kategorie hoch. Das Audit von Koi Security am 1. Februar ordnete 335 dieser 341 Skills einer koordinierten Kampagne zu, die sie ClawHavoc nannten. Die Payload: Atomic macOS Stealer (AMOS) — ein kompaktes Programm, das deine Keychain-Passwörter erntet, Browserdaten von über 60 Krypto-Wallet-Extensions, SSH-Keys (die Zugangsdaten, mit denen sich dein Rechner mit Servern verbindet) sowie Dateien von deinem Desktop und deinem Dokumente-Ordner. Bis zum 16. Februar war die Zahl auf 824 bösartige Skills bei über 10.700 Marketplace-Einträgen angewachsen.

Währenddessen scannte Bitsight das Internet und fand über 30.000 OpenClaw-Instanzen, die zwischen dem 27. Januar und dem 8. Februar offen auf Port 18789 erreichbar waren — dem Netzwerk-Port, auf dem OpenClaw lauscht. Wie Danny Wilson von OpenClawd es formulierte: 'Es gibt jetzt zwei Wege, kompromittiert zu werden, bevor du überhaupt deinen ersten OpenClaw-Befehl ausführst."

Wenn dir das bekannt vorkommt, sollte es das auch. npm — der Paketmanager von JavaScript — hatte 2018 seinen event-stream-Vorfall: Eine vertrauenswürdige Library wurde gekapert, um Kryptowährungs-Wallets zu stehlen. PyPI — Pythons Paketindex — erlebte 2022 Wellen von Typosquatting-Angriffen, bei denen bösartige Pakete beliebte Bibliotheken mit leicht falsch geschriebenen Namen imitierten. Die Formel ändert sich nie: offener Marktplatz plus null Verifizierung plus explosives Wachstum gleich Malware-Autoren, die schneller sind als die Maintainer.

OpenClawds Fix fügt drei Ebenen hinzu: eine Vetting-Pipeline (automatisierte Analyse, die verdächtige Muster vor der Veröffentlichung blockiert), Runtime-Sandboxing (jeder Skill läuft isoliert mit expliziten Berechtigungen) und signierte Installer (kryptografischer Nachweis, dass die Software nicht manipuliert wurde). Solides Engineering. Ein Problem: Das deckt nur OpenClawds Managed Hosting ab. Die Mehrheit der OpenClaw-Nutzer betreibt selbst gehostete Instanzen. Die bekommen nichts. Das breitere Skill-Ökosystem hat immer noch keinen Standard für kryptografische Signaturen.

Wenn du irgendeinen KI-Agenten mit Shell-Zugriff betreibst — OpenClaw oder andere — behandle ihn wie einen Produktionsserver. Prüfe, welche Berechtigungen er hat. Pinne deine Plugin-Versionen, damit Updates sich nicht einschleichen. Installiere niemals unverifizierte Skills. Geh davon aus, dass jedes Third-Party-Plugin feindlich ist, bis das Gegenteil bewiesen wurde. Das ist keine Paranoia. Das ist Ops-Hygiene ⚙️

Die Ära der persönlichen KI-Agenten hat gerade ihre erste echte Supply-Chain-Krise. Das Aufräumen wird länger dauern als der Hype-Zyklus, der sie verursacht hat. Deine Automatisierung soll das Leben ruhiger machen — nicht deinen Schlüsselbund einem Fremden überreichen 🫶