Hunderte verseuchte Skills: Angreifer schleusen Trojaner in KI-Agent OpenClaw ein

Hunderte Skills für den KI-Agenten OpenClaw enthielten Trojaner und Datendiebe. OpenClaw und VirusTotal reagieren mit einer Partnerschaft. Doch das grundlegende Sicherheitsproblem von KI-Agenten bleibt.

Das berichtet VirusTotal in einem Blogpost. OpenClaw ist ein selbst gehosteter KI-Agent, der auf dem eigenen Rechner läuft und echte Aktionen ausführen kann, etwa Shell-Befehle, Dateioperationen oder Netzwerkanfragen. Sogenannte Skills erweitern seine Fähigkeiten.

Laut VirusTotal tarnten Angreifer Trojaner und Datendiebe als nützliche Skills auf der Plattform ClawHub. Die Skills selbst enthielten oft keinen schädlichen Code, leiteten den Agenten aber an, externe Dateien herunterzuladen und auszuführen, darunter den bekannten macOS-Trojaner Atomic Stealer. Allein ein einzelner Nutzer veröffentlichte mehr als 300 verseuchte Skills.

OpenClaw reagiert mit VirusTotal-Partnerschaft

Als Reaktion hat OpenClaw eine Partnerschaft mit VirusTotal geschlossen, wie OpenClaw-Gründer Peter Steinberger mitteilte. Alle auf ClawHub veröffentlichten Skills werden nun automatisch gescannt. Die Analyse nutzt unter anderem VirusTotals KI-gestützte Funktion "Code Insight" (basierend auf Googles Gemini), die das tatsächliche Verhalten eines Skills aus Sicherheitsperspektive untersucht, also etwa, ob Code externe Dateien herunterlädt, auf sensible Daten zugreift oder den Agenten zu unsicherem Verhalten verleitet.

Als harmlos eingestufte Skills werden automatisch freigegeben, verdächtige mit einer Warnung versehen und als schädlich erkannte sofort gesperrt. Zusätzlich werden alle aktiven Skills täglich erneut geprüft.

Die Anfälligkeit über Skills zeigt, wie verwundbar KI-Agenten für Sicherheitsprobleme noch sind. Denn Sprachmodelle handeln auf Basis von Wahrscheinlichkeiten und interpretieren natürliche Sprache. Das bietet Angreifern eine Vielzahl von Einfallstoren. Schon zuvor gab es Berichte über eklatante Sicherheitslücken in OpenClaw, einer Software-Umgebung für agentische KI-Modelle wie Claude Opus oder GPT-5.2.

Eine wirksame Absicherung gibt es bislang kaum. Als einzige Gegenmaßnahme gilt derzeit, die Fähigkeiten der Modelle auf eng kontrollierte Umgebungen zu beschränken. Also genau das Gegenteil dessen, was OpenClaw tut.

Entsprechend ist auch die VirusTotal-Partnerschaft kein vollständiger Schutz, bestenfalls eine Reduzierung von Risiken. Das räumt auch Steinberger ein: "Sicherheit benötigt mehrere Schutzschichten. Das ist eine davon. Weitere werden folgen." So wirkt VirusTotal etwa nicht gegen gezielte Angriffe in natürlicher Sprache, sogenannte Prompt Injections, die wohl größte Schwachstelle agentischer KI-Systeme.

Steinberger verspricht: "KI-Agenten, die in der realen Welt handeln, verdienen echte Sicherheitsprozesse. Wir bauen sie auf. […] Wir wollen OpenClaw zur sichersten verfügbaren KI-Agenten-Plattform machen." Als leitenden Sicherheitsberater hat OpenClaw Jamieson O'Reilly (Gründer von Dvuln) an Bord geholt.