Ihr KI-Rezeptionist ist in 3 Minuten live. 11k Credits kostenlos sichern ->

Bösartige OpenClaw-Skills: ClawHub-Fallakten, die Sie tatsächlich überprüfen können

Geschrieben vonIvy Chen
Zuletzt aktualisiert: June 24, 2026Von Experten geprüft

Die Skill-Ökonomie von OpenClaw ist ein Segen und eine Belastung zugleich. Sicherheitsteams kennzeichnen die jüngste Welle von Vorfällen nun mit dem Schlüsselwort openclaw-malicious-skills, damit jedes Briefing mit demselben Slug übereinstimmt. Jede Automatisierung befindet sich in einer SKILL.md, und der ClawHub-Marktplatz macht diese Skills mit einem Klick installierbar. Im letzten Quartal haben mehrere unabhängige Sicherheitsteams handfeste Beweise für bösartige Uploads veröffentlicht, die dieses Vertrauen missbraucht haben. Anstatt allgemeine Risikolisten zu wiederholen, werden in diesem Briefing drei dokumentierte Vorfälle, ihr Ablauf und die tatsächlich wirksamen Eindämmungsmaßnahmen vorgestellt.

TL;DR

  1. ClawHavoc (Feb 2026): Antiy Labs dokumentierte eine groß angelegte Poisoning-Kampagne auf ClawHub, bei der gefälschte „Wartungs“-Skills den Prerequisites-Block missbrauchten, um entfernte Bash-Loader herunterzuladen. ClawHub begrenzt nun die Rate für neue Publisher und leitet jeden Upload vor der Veröffentlichung durch VirusTotal.
  2. ToxicSkills Audit (Feb 2026): Snyks Crawl von Tausenden von Skills markierte einen signifikanten Prozentsatz als Credential-Stealer oder Infostealer-Dropper. OpenClaw reagierte mit der Einführung von obligatorischem Plaintext-Linting, Herkunfts-Tags und automatischer Quarantäne bei wiederholten Meldungen.
  3. Cline npm Compromise (Feb 2026): StepSecurity und Endor Labs verfolgten ein bösartiges cline@2.3.0-Release zurück, das unbemerkt OpenClaw installierte und bestimmte ClawHub-„Produktivitäts“-Skills vorlud, die mit verschleierten Payloads versehen waren. Dies zwang Cline, Tokens zu rotieren, und veranlasste OpenClaw, signierte Release-Manifeste auszuliefern.

Warum ClawHub weiterhin Angreifer anzieht

OpenClaw-Skills sind nur Textdateien, aber der Agent interpretiert jeden eingezäunten Codeblock als Anweisungen, die er ausführen könnte. Sicherheitsforscher haben dies als „Sicherheitsalptraum“ bezeichnet, da ein bösartiger Skill einem beliebigen Shell-Zugriff gleichkommt, wenn der Operator ihn einfach durchwinkt. Skills erben auch die Umgebungs-Anmeldeinformationen des Agenten – Discord-Tokens, GitHub-PATs, Stripe-Schlüssel –, was ClawHub zu einem natürlichen Ziel für Supply-Chain-Akteure macht, die auf der Jagd nach API-Geheimnissen sind. Dieser Kontext erklärt, warum die folgenden Vorfälle so schnell eskalierten.

Fall 1: ClawHavocs gefälschte Wartungsskripte

Der forensische Bericht von Antiy Labs zeigt, dass ClawHavoc-Konten Hunderte von nahezu identischen „Gateway-Wartungs“-Skills hochgeladen haben. Jede SKILL.md enthielt einen Schritt, der die Agenten anwies, unter dem Vorwand der Installation von Abhängigkeiten ein Bash-Skript auszuführen. Die Payload holte eine Binärdatei, die ~/.openclaw auflistete, Anmeldeinformationen zippte und sie an eine entfernte Dropbox sendete.

Erkennungshinweise

Verteidiger bemerkten zuerst einen Anstieg des „maintenance“-Tags von ClawHub sowie ausgehende DNS-Abfragen an verdächtige Domains. Wenn Sie selbst gehostete ClawHub-Spiegel betreiben, fügen Sie Erkennungen für identische Prerequisites-Blöcke, Base64-Blobs, die länger als 1 KB sind, und jeden SKILL hinzu, der auf curl | bash verweist, ohne eine Prüfsumme festzulegen.

Behebung

Die Moderatoren von ClawHub widerriefen die Publisher-Konten, entfernten die Skills und führten nachträglich VirusTotal-Scans für die verbleibende Warteschlange durch. OpenClaw lieferte openclaw skills publish --scan aus, damit Uploads dieselbe Multi-Engine-Prüfung durchlaufen, und Gateways wurden aktualisiert, um Betreiber zu warnen, wenn ein SKILL Shell-Zugriff außerhalb des Arbeitsbereichs anfordert.

Fall 2: Massenhaftes Sammeln von Anmeldeinformationen durch ToxicSkills

Die „ToxicSkills“-Recherche von Snyk durchsuchte das öffentliche Register und markierte Einträge, deren Codeblöcke .env, aws/credentials oder Browser-Passwortspeicher exfiltrierten. Die bösartigen Cluster verwendeten Vorlagen für Git-Dienstprogramme, PDF-Zusammenfasser und „sichere Backups“ wieder. Alle drei kodierten die Geheimnisse unbemerkt mit Base64 und sendeten sie an externe APIs.

Warum es funktionierte

Der bösartige Code berührte niemals Binärdateien; er befand sich in Markdown, sodass herkömmliche Dateitypfilter ihn durchließen. Viele Betreiber verlassen sich auf die automatische Ausführungsgenehmigung, sodass der Agent Befehle wie cat ~/.config/... ohne menschliches Eingreifen ausführte.

Nachhaltige Gegenmaßnahmen

Nach dem Bericht führte ClawHub Überprüfungen des Kontenalters und verifizierte E-Mails ein, bevor neue Skills veröffentlicht werden können. Herkunftsmetadaten wurden zu metadata.openclaw hinzugefügt, damit Installationen nachverfolgt werden können. OpenClaw fügte außerdem openclaw skills lint --exfil hinzu, das nach verdächtigen Befehlen (z. B. cat, tar, scp, curl) sucht, die auf sensible Pfade zugreifen, und vor der Installation eine manuelle Bestätigung erzwingt.

Fall 3: Cline-npm-Kompromittierung schleust ClawHub-Implantate ein

Endorlabs brachte eine Prompt-Injection gegen den Cline-Triage-Bot mit einem bösartigen npm-Release (cline@2.3.0) in Verbindung. Der Postinstall-Hook des kompromittierten Pakets installierte unbemerkt OpenClaw global und lud bestimmte ClawHub-Skills wie focus-assistant-pro und drive-sync-suite vor. Diese Skills wiederum riefen externe CDNs auf, luden einen Infostealer herunter und exfiltrierten Tokens.

Schadensradius

Obwohl das Gateway nie automatisch mit Kanälen gekoppelt wurde, hatte der Daemon dennoch Zugriff auf das Dateisystem und das Netzwerk. CI-Runner, die npm-Module zwischengespeichert hatten, bündelten das Implantat unwissentlich in Golden Images. Dieser Vorfall zeigte, wie ein traditioneller Supply-Chain-Angriff genutzt werden konnte, um bösartige KI-Agenten-Skills zu verbreiten.

Gewonnene Erkenntnisse

Cline rotierte die npm-Token, fügte eine Sigstore-Signierung hinzu und verlangt nun zwei Maintainer für eine Veröffentlichung. OpenClaw führte signierte Manifest-Prüfungen ein, sodass zukünftige stille Installationen mit einer veröffentlichten Prüfsumme übereinstimmen müssen. ClawHub fügte „Pinned Publisher“-Labels hinzu, damit Betreiber Installationen auf von der Organisation verifizierte Skills beschränken können.

Playbook für Betreiber zur Verhinderung der nächsten Welle

  1. Threat-Intel-Syncs: Abonnieren Sie den Moderations-Feed von ClawHub sowie das SLSA-Radar von StepSecurity. Behandeln Sie diese wie CVE-Feeds für Skills.
  2. Unveränderliche Allow-Listen: Spiegeln Sie nur die Skill-IDs, die Sie bereits geprüft haben. Der npx clawhub sync --allowlist-Modus von ClawHub existiert aus diesem Grund.
  3. Automatisches Linting + manuelle Überprüfung: Führen Sie openclaw skills lint --exfil aus und blockieren Sie automatische Genehmigungen für Skills, die Secrets lesen, /usr/bin berühren oder Shells starten.
  4. Laufzeitüberwachung: Implementieren Sie Falco- oder OSQuery-Regeln, die warnen, wenn der OpenClaw-Prozess curl, tar oder scp startet – das hatten alle bösartigen Skills in diesen Fällen gemeinsam.
  5. Credential-Scoping: Rotieren Sie PATs und API-Schlüssel, damit der Agent nur Geltungsbereiche pro Repository hat. Die ClawHavoc-Crew monetarisierte gezielt GitHub-PATs mit repo+workflow-Scopes, da sie damit bösartige PRs an anderer Stelle pushen konnten.

Fazit

Die jüngste Berichterstattung in den Mainstream-Medien deutet in eine Richtung: Skill-Marktplätze sind jetzt ein primäres Ziel für Supply-Chain-Angriffe auf KI-Agenten. Der ClawHavoc-Bericht von Antiy Labs, das ToxicSkills-Audit von Snyk und die Vorfallanalyse von cline@2.3.0 durch StepSecurity zeigen alle dasselbe Muster: Bösartige Skills sind erfolgreich, wenn die Überprüfung oberflächlich ist und die Laufzeitüberwachung fehlt. Für OpenClaw-Betreiber ist die praktische Schlussfolgerung einfach: Vertrauen Sie veröffentlichten Fallbeispielen, erzwingen Sie Herkunfts- und Lint-Prüfungen vor der Installation und überwachen Sie die Live-Ausführung wie eine Produktionsinfrastruktur.

Ihr KI-Rezeptionist ist in Minuten live.

Skalieren Sie Ihren Empfang mit einer KI, die nie schläft. Solvea bearbeitet unbegrenzte Anfragen über mehrere Kanäle, bucht Termine automatisch in Ihren Kalender und verhindert rund um die Uhr verpasste Chancen.

iOS-App herunterladenAuf PC testen

FAQ

Was sind bösartige OpenClaw-Skills?

Bösartige OpenClaw-Skills sind Fähigkeiten von KI-Agenten, die oft über ClawHub vertrieben werden und versteckten oder getarnten Code enthalten, der darauf ausgelegt ist, nicht autorisierte Aktionen wie Datenexfiltration, Diebstahl von Anmeldeinformationen oder Systemkompromittierung durchzuführen. Sie nutzen die Berechtigungen und Vertrauensmechanismen des Agenten aus.

Wie kann ich einen bösartigen OpenClaw-Skill erkennen?

Achten Sie auf verdächtiges Verhalten wie die Anforderung übermäßiger Berechtigungen, ungewöhnliche Netzwerkaktivitäten oder Versuche, auf sensible Dateien zuzugreifen. Überprüfen Sie immer den Herausgeber, prüfen Sie die Herkunfts-Metadaten und verwenden Sie vor der Installation Sicherheits-Linting-Tools wie openclaw skills lint --exfil. Seien Sie vorsichtig bei Skills, die eine Funktionalität versprechen, die zu gut scheint, um wahr zu sein, oder die unerwarteten Shell-Zugriff erfordern.

Was ist ClawHub und warum ist es ein Ziel?

ClawHub ist der offizielle Skill-Marktplatz für OpenClaw, der es Benutzern ermöglicht, einfach neue Fähigkeiten für KI-Agenten zu installieren. Es ist ein Ziel, weil Skills die vollen Berechtigungen des KI-Agenten erben, einschließlich des Zugriffs auf Systemressourcen und sensible Anmeldeinformationen. Dies macht es zu einem attraktiven Vektor für Supply-Chain-Angriffe, wie die Vorfälle ClawHavoc und ToxicSkills gezeigt haben.

Welche Schritte hat OpenClaw unternommen, um die Sicherheit zu verbessern?

Nach den Vorfällen haben OpenClaw und ClawHub strengere Veröffentlichungsanforderungen (z. B. Kontoalter, verifizierte E-Mails) implementiert, Herkunfts-Tags zur Rückverfolgbarkeit eingeführt und Mechanismen zur automatischen Quarantäne für gemeldete Skills hinzugefügt. OpenClaw liefert jetzt auch signierte Release-Manifeste aus und stellt Tools wie openclaw skills publish --scan und openclaw skills lint --exfil zur Verfügung, um die Sicherheitsüberprüfung zu verbessern.

Kann Prompt-Injection zur Ausführung bösartiger Skills führen?

Ja, wie bei der Kompromittierung von Cline npm zu sehen war, kann Prompt-Injection ein Vektor sein. Angreifer können KI-Agenten durch speziell gestaltete Prompts manipulieren, um unbeabsichtigte Befehle auszuführen oder bösartige Skills zu laden. Dies unterstreicht die Notwendigkeit einer robusten Eingabevalidierung und einer sorgfältigen Überprüfung jedes Skills, der mit Benutzereingaben oder externen Daten interagiert.

KI-Rezeptionist

Der einfachste Weg, keinen Kunden zu verpassen - per Telefon, E-Mail, SMS oder Chat

TelefonE-MailSMSLive-Chat

Solvea beantwortet jede Unterhaltung auf jedem Kanal - in Minuten eingerichtet, ohne Code und mit Vorlagen.

  • Arbeitet rund um die Uhr ohne Pausen oder Überstunden
  • No-Code-Einrichtung mit sofort nutzbaren Vorlagen
  • Verbindet sich mit den Tools, die Sie bereits nutzen
  • Omnichannel - ein Agent für jeden Kontaktpunkt
iOS-App herunterladenAuf PC testen

Keine Karte erforderlich

Ähnliche Artikel

Alle Artikel ansehen
AI Receptionist 101

So richten Sie einen KI-Rezeptionisten mit OpenClaw ein: Anleitung und Kosten

Ivy Chen
AI News

ClawBench: Was es ist, wie es KI-Agenten bewertet und warum es 2026 wichtig ist

Ivy Chen
AI News

OpenClaw vs. Claude Code: Welches passt besser in Ihren Workflow?

Ivy Chen
AI News

OpenClaw-Sicherheitsrisiken: Ist der Betrieb von OpenClaw sicher?

Ivy Chen
AI News

Was ist Claude Code Pet? Anwendungsfälle und Vorteile

Ivy Chen
AI News

OpenClaw für Content-Ersteller: Automatisieren Sie Ihre gesamte Publishing-Pipeline

Ivy Chen