AI Perks bietet Zugang zu exklusiven Rabatten, Guthaben und Angeboten für KI-Tools, Cloud-Dienste und APIs, um Startups und Entwicklern beim Sparen zu helfen.
OpenClaws Sicherheitskrise – Der größte KI-Agenten-Skandal des Jahres 2026
OpenClaw – der Open-Source-KI-Agent mit über 180.000 GitHub-Sternen – wurde von der schlimmsten Sicherheitskrise in der Geschichte der KI-Tools getroffen. Im Februar 2026 entdeckten Forscher 7 kritische Schwachstellen, über 135.000 exponierte Instanzen und über 800 bösartige Skills, die Malware über den offiziellen ClawHub-Marktplatz lieferten.
Google begann damit, zahlende KI-Abonnenten, die OpenClaw verwenden, zu sperren. Meta verbot es auf allen Arbeitsgeräten. CrowdStrike, Cisco und Nature veröffentlichten dringende Warnungen.
Wenn Sie OpenClaw betreiben, ist das Wichtigste zuerst, legitime API-Zugangsdaten über AI Perks zu sichern – kompromittierte Schlüssel aus kompromittierten Instanzen kursieren bereits online.
Sparen Sie Ihr Gründerbudget bei KI-Tools
| Software | Ca Guthaben | Genehmigungsindex | Aktionen | |
|---|---|---|---|---|
Zeitstrahl der Krise – Wie alles geschah
Die Krise geschah nicht über Nacht. Sie eskalierte innerhalb von drei Wochen, als Sicherheitsexperten eine Schicht nach der anderen von Schwachstellen abtrugen.
| Datum | Ereignis |
|---|---|
| 29. Jan | CVE-2026-25253 stillschweigend in OpenClaw v2026.1.29 behoben |
| 3. Feb | CVE-2026-25253 öffentlich bekannt gegeben – CVSS 8,8 (Ein-Klick-RCE) |
| 4. Feb | Zusätzliche Command-Injection-CVE bekannt gegeben |
| 5. Feb | Forscher entdecken 341 bösartige Skills auf ClawHub (ca. 12 % des Registrierungsumfangs) |
| 6. Feb | Moltbook-Einbruch legt 1,5 Millionen API-Tokens offen |
| 7.-8. Feb | Google beginnt mit der Einschränkung von KI-Abonnenten, die OpenClaw nutzen |
| 9. Feb | SecurityScorecard meldet über 40.000 exponierte OpenClaw-Instanzen |
| 15. Feb | Exponierte Instanzen wachsen auf über 135.000; bösartige Skills steigen auf über 800 |
| 17. Feb | Cline CLI 2.3.0 Supply-Chain-Angriff installiert OpenClaw heimlich |
| 20. Feb | Meta verbietet OpenClaw auf Arbeitsgeräten; The Register veröffentlicht vollständigen Cline-Bericht |
Drei Wochen. So schnell entwickelte sich OpenClaw vom aufregendsten Open-Source-Projekt der Geschichte zur größten sicherheitstechnischen Warnung im Bereich KI.
AI Perks bietet Zugang zu exklusiven Rabatten, Guthaben und Angeboten für KI-Tools, Cloud-Dienste und APIs, um Startups und Entwicklern beim Sparen zu helfen.
Die 7 Schwachstellen, die OpenClaw erschütterten
Sieben CVEs wurden innerhalb weniger Wochen voneinander bekannt gegeben. Drei davon haben öffentlich verfügbaren Exploit-Code, was bedeutet, dass jeder sie gegen ungepatchte Instanzen verwenden kann.
CVE-2026-25253 – Ein-Klick-Remote-Codeausführung (CVSS 8,8)
Dies war die wichtigste. Ein bösartiger Link, der über jede Messaging-Plattform gesendet wurde – WhatsApp, Telegram, Discord – konnte eine gesamte OpenClaw-Instanz in Millisekunden übernehmen.
Die Schwachstelle nutzte den gatewayURL-Abfrageparameter aus, um Authentifizierungstoken zu exfiltrieren. Sobald ein Angreifer das Token hatte, konnte er beliebige Befehle auf dem Rechner des Opfers ausführen. Voller Systemzugriff mit einem Klick.
Die Korrektur wurde am 29. Januar in v2026.1.29 veröffentlicht, aber die CVE wurde erst am 3. Februar öffentlich bekannt gegeben. Forscher schätzen, dass Tausende von Instanzen wochenlang ungepatcht blieben.
Die anderen sechs CVEs
| Schwachstelle | Typ | Schweregrad | Auswirkung |
|---|---|---|---|
| SSRF (Server-Side Request Forgery) | Netzwerk | Hoch | Angreifer greifen über OpenClaw auf interne Dienste zu |
| Fehlende Authentifizierung | Zugriffskontrolle | Kritisch | Keine Anmeldeinformationen erforderlich, um exponierte Instanzen zu steuern |
| Path Traversal | Dateisystem | Hoch | Lesen oder Schreiben beliebiger Dateien auf dem Host-Rechner |
| Command Injection | Ausführung | Hoch | Ausführen von Systembefehlen durch manipulierte Eingaben |
| Token-Exfiltration (Gateway) | Authentifizierung | Kritisch | Sitzungstoken über bösartige URLs stehlen |
| Unsichere Standardkonfiguration | Konfiguration | Mittel | Bindet an 0.0.0.0:18789 – lauscht auf allen Netzwerkschnittstellen |
Das Problem der Standardkonfiguration verdient besondere Aufmerksamkeit. Direkt nach der Installation lauscht OpenClaw auf allen Netzwerkschnittstellen auf Port 18789, ohne Authentifizierung. Das bedeutet, dass jede neu installierte Instanz sofort für jeden im selben Netzwerk zugänglich ist – oder für das gesamte Internet, wenn der Port exponiert ist.
135.000 exponierte Instanzen – Das Ausmaß des Problems
Das STRIKE-Team von SecurityScorecard führte einen internetweiten Scan durch und stellte fest, dass die Zahlen erschreckend waren.
Wichtige Ergebnisse:
- Über 135.000 OpenClaw-Instanzen, die dem öffentlichen Internet ausgesetzt sind
- 93,4 % der exponierten Instanzen wiesen Umgehungsbedingungen für die Authentifizierung auf
- 5.194 Instanzen, die aktiv auf bekannte CVEs verwundbar waren
- Über 53.000 Instanzen, die mit IP-Adressen verbunden waren, die bekannten Bedrohungsakteuren zugeordnet sind
Die Zahlen stiegen schnell. Eine frühere unabhängige Studie vom 9. Februar ergab 42.665 exponierte Instanzen. Sechs Tage später hatte sich die Zahl mehr als verdreifacht.
Was bedeutet "exponiert"? Es bedeutet, dass die OpenClaw-Instanz vom Internet aus ohne Authentifizierung erreichbar ist. Jeder, der sie findet, kann Befehle senden, Daten lesen, auf verbundene Messaging-Konten zugreifen und Code auf dem Host-Rechner ausführen.
Für Benutzer, die OpenClaw mit legitimen API-Zugangsdaten von AI Perks ausführen – überprüfen Sie sofort, ob Ihre Instanz öffentlich zugänglich ist. Wenn ja, schalten Sie sie ab, wechseln Sie Ihre API-Schlüssel aus und aktivieren Sie die Authentifizierung, bevor Sie sie wieder verbinden.
Über 800 bösartige Skills – Der ClawHub-Supply-Chain-Angriff
ClawHub ist der offizielle Skill-Marktplatz von OpenClaw – das Äquivalent zu npm für Node.js oder pip für Python. Zu Beginn der Krise hatte er etwa 3.000+ Skills.
Forscher stellten fest, dass 20 % davon bösartig waren.
Der erste Scan am 5. Februar entdeckte 341 bösartige Skills im gesamten Registrierungsumfang. Eine nachfolgende Untersuchung am 15. Februar ergab, dass die Zahl auf über 800 gestiegen war – was bedeutet, dass etwa jeder fünfte ClawHub-Skill darauf ausgelegt war, Benutzerdaten zu stehlen.
Was die bösartigen Skills tun
Die primäre Payload war Atomic macOS Stealer (AMOS) – eine bekannte Malware zur Diebstahl von Anmeldedaten, die zielt auf:
- Browser-Passwörter und Cookies (Chrome, Firefox, Safari, Brave)
- Kryptowährungs-Wallets (MetaMask, Phantom, Coinbase Wallet)
- Keychain-Passwörter auf macOS
- Systemanmeldedaten und SSH-Schlüssel
Benutzer, die während dieser Zeit einen nicht verifizierten ClawHub-Skill installiert haben, sollten davon ausgehen, dass ihre Anmeldedaten kompromittiert sind.
Der Cline CLI Supply-Chain-Angriff (17. Februar)
Am 17. Februar entdeckten Sicherheitsexperten, dass die Cline CLI Version 2.3.0 – ein beliebtes Kommandozeilen-Tool – kompromittiert worden war, um OpenClaw heimlich auf den Rechnern der Benutzer zu installieren. Die bösartige Version war etwa 8 Stunden lang live, bevor sie entdeckt und entfernt wurde.
Schätzungsweise 4.000 Downloads fanden während dieses Zeitfensters statt. Benutzer, die Cline CLI während dieses Zeitraums installiert haben, haben möglicherweise eine OpenClaw-Instanz laufen, ohne es zu wissen.
Google und Meta verbannen OpenClaw – Reaktion der Branche
Die Sicherheitskrise löste eine Gegenreaktion von den größten Namen der Tech-Branche aus.
Google begann, zahlende Gemini AI Pro- und Ultra-Abonnenten (249 $/Monat-Pläne), die OpenClaw zur Modellverwaltung nutzten, massenhaft einzuschränken. Benutzer berichteten, dass sie ohne Vorwarnung gesperrt wurden und den Zugang zu Diensten verloren, für die sie bezahlten. Googles Position: Die Nutzung von Drittanbieter-Tools zum Zugriff auf KI-Modelle verstößt gegen die Nutzungsbedingungen.
Meta erließ eine interne Richtlinie, die OpenClaw auf allen Arbeitsgeräten verbietet. Mitarbeiter wurden gewarnt, dass die Nutzung von OpenClaw zur Kündigung führen könnte. Mehrere andere Technologieunternehmen folgten diesem Beispiel, wie Berichte von Korea Times zeigen.
CrowdStrike veröffentlichte eine detaillierte Warnung, in der OpenClaw als "eine neue Art von Sicherheitsrisiko – ein autonomer Agent mit breitem Systemzugriff, den die meisten Benutzer ohne grundlegende Sicherheitshygiene einsetzen" bezeichnet wurde.
Cisco beschrieb persönliche KI-Agenten wie OpenClaw in einem Blogbeitrag ihres Sicherheitsteams als "einen Albtraum für die Sicherheit".
Nature veröffentlichte einen Artikel mit dem Titel "OpenClaw KI-Chatbots geraten außer Kontrolle – diese Wissenschaftler hören mit", der die wachsende Besorgnis der akademischen Gemeinschaft dokumentiert.
Die Botschaft der Branche war klar: OpenClaw ist leistungsfähig, aber die standardmäßige Sicherheitshaltung ist für den professionellen Einsatz inakzeptabel.
So schützen Sie sich, wenn Sie OpenClaw betreiben
Die Krise ist ernst, aber OpenClaw ist mit den richtigen Vorsichtsmaßnahmen immer noch nutzbar. Hier sind die wichtigsten Schritte, beginnend mit dem wichtigsten.
Schritt 1: Holen Sie sich legitime API-Credits
Verwenden Sie niemals geleakte, geteilte oder "kostenlose" API-Schlüssel aus dem Internet. Der Moltbook-Einbruch legte 1,5 Millionen API-Token offen. Gestohlene Schlüssel kursieren in Dark-Web-Foren und Telegram-Kanälen.
Holen Sie sich Ihre eigenen legitimen Credits über AI Perks:
| Kreditprogramm | Verfügbare Credits | Wie Sie es erhalten |
|---|---|---|
| Anthropic Claude (Direkt) | 1.000 – 25.000 $ | AI Perks Leitfaden |
| OpenAI (GPT-4) | 500 – 50.000 $ | AI Perks Leitfaden |
| AWS Activate (Bedrock) | 1.000 – 100.000 $ | AI Perks Leitfaden |
| Microsoft Founders Hub | 500 – 1.000 $ | AI Perks Leitfaden |
Gesamtpotenzial: 3.000 – 176.000 $ in legitimen Credits
Mit Ihren eigenen Schlüsseln von AI Perks kontrollieren Sie, was exponiert wird. Wenn es zu einem Einbruch kommt, können Sie Ihre Schlüssel sofort wechseln, ohne auf kompromittierte Infrastruktur angewiesen zu sein.
Schritt 2: Aktualisieren Sie sofort auf v2026.2.22
Die neueste Version enthält über 40 Sicherheits-Härtungs-Fixes, Gateway-Authentifizierung und Geräteverwaltung. Überprüfen Sie Ihre Version und aktualisieren Sie:
openclaw --version
openclaw update
Jede Version vor 2026.1.29 ist anfällig für One-Click-RCE. Jeder Version vor 2026.2.22 fehlen kritische Sicherheits-Härtungen.
Schritt 3: Aktivieren Sie die Authentifizierung
OpenClaw wird standardmäßig mit deaktivierter Authentifizierung ausgeliefert. Dies ist der Hauptgrund, warum 93,4 % der exponierten Instanzen eine Umgehung der Authentifizierung aufwiesen.
Aktivieren Sie sie in Ihrer Konfiguration:
security:
authentication: true
gateway_auth: true
Schritt 4: Überprüfen Sie Ihre installierten Skills
Entfernen Sie jeden ClawHub-Skill, den Sie nicht persönlich überprüft haben. Da 20 % des Registrierungsumfangs kompromittiert sind, ist der sicherste Ansatz, alles zu deinstallieren und nur Skills neu zu installieren, die Sie überprüft haben:
openclaw skill list
openclaw skill inspect [skill-name]
openclaw skill remove [suspicious-skill]
Schritt 5: Befolgen Sie die vollständige Härtungsanleitung
Für eine vollständige 10-stufige Sicherheitscheckliste, die Netzwerkbeschränkungen, Sandbox-Konfiguration, Protokollierung und Ausgabenlimits abdeckt – lesen Sie unseren OpenClaw Sicherheitsleitfaden.
Sicherere Alternativen, die eine Überlegung wert sind
Wenn die Sicherheitskrise Sie dazu veranlasst, OpenClaw neu zu bewerten, gibt es verwaltete Alternativen, die die Sicherheit für Sie übernehmen. Der Kompromiss: weniger Anpassung, aber keine CVEs, um die Sie sich Sorgen machen müssen.
| Merkmal | OpenClaw (Selbst gehostet) | Claude Code | Manus AI | ChatGPT Agent |
|---|---|---|---|---|
| Sicherheitsmodell | Sie verwalten alles | Anthropic-verwaltet | Meta-verwaltet | OpenAI-verwaltet |
| CVE-Historie | 7 CVEs im Feb 2026 | Keine öffentlich | Keine öffentlich | Keine öffentlich |
| Datenspeicherort | Ihr Gerät | Cloud | Cloud-Sandbox | Cloud |
| Anpassung | Volle Kontrolle | Code-fokussiert | Aufgaben-fokussiert | Allzweck |
| Kosten | Nur API-Credits | 20–200 $/Monat | 39–199 $/Monat | 20–200 $/Monat |
Jede Alternative erfordert weiterhin KI-API-Credits, um mit voller Kapazität zu laufen. AI Perks deckt Kreditprogramme für Anthropic, OpenAI, AWS, Google Cloud und mehr ab – Sie sind also unabhängig davon abgesichert, welches Tool Sie wählen.
Eine detaillierte Aufschlüsselung jeder Alternative finden Sie in unserem Leitfaden Beste OpenClaw-Alternativen.
Häufig gestellte Fragen
Wurde OpenClaw im Februar 2026 gehackt?
OpenClaw selbst wurde nicht im herkömmlichen Sinne gehackt. Sieben kritische Schwachstellen wurden entdeckt und bekannt gegeben, über 135.000 Instanzen wurden dem Internet ohne Authentifizierung ausgesetzt gefunden, und über 800 bösartige Skills wurden auf ClawHub gefunden, die Anmeldedaten-stehlende Malware lieferten. Der Moltbook-Einbruch legte auch 1,5 Millionen API-Token offen.
Ist OpenClaw derzeit sicher zu verwenden?
Ja, mit richtiger Konfiguration. Aktualisieren Sie auf v2026.2.22, aktivieren Sie die Authentifizierung, überprüfen Sie Ihre Skills und verwenden Sie legitime API-Zugangsdaten von AI Perks. Eine nicht gehärtete Standardinstallation ist nicht sicher – aber eine ordnungsgemäß konfigurierte Instanz mit den neuesten Patches behebt alle bekannten Schwachstellen.
Warum hat Google OpenClaw-Benutzer gesperrt?
Google hat zahlende Gemini AI-Abonnenten, die OpenClaw zur Verwaltung von Googles KI-Modellen über Drittanbieter-Tools nutzten, eingeschränkt. Dies verstößt gegen die Nutzungsbedingungen von Google. Benutzer berichteten, dass sie ohne Vorwarnung den Zugang zu Plänen im Wert von 249 $/Monat verloren haben. Verwenden Sie stattdessen direkte API-Credits von AI Perks anstelle von Verbraucherabonnements.
Was ist der Cline CLI Supply-Chain-Angriff?
Am 17. Februar 2026 wurde Cline CLI Version 2.3.0 kompromittiert, um OpenClaw heimlich auf den Rechnern der Benutzer zu installieren. Die bösartige Version war etwa 8 Stunden lang live, bevor sie entfernt wurde. Schätzungsweise 4.000 Downloads fanden statt. Wenn Sie Cline CLI in diesem Zeitraum installiert haben, prüfen Sie auf unautorisierte OpenClaw-Installationen.
Wie viele bösartige OpenClaw-Skills gibt es auf ClawHub?
Mitte Februar 2026 stellten Forscher über 800 bösartige Skills auf ClawHub fest – etwa 20 % des gesamten Registrierungsumfangs. Die primäre Payload ist Atomic macOS Stealer (AMOS), der Browser-Passwörter, Kryptowährungs-Wallets und Systemanmeldedaten angreift. Installieren Sie nur Skills, die Sie persönlich überprüft haben.
Was soll ich tun, wenn meine OpenClaw-Instanz exponiert war?
Sofort: Schalten Sie die Instanz aus, wechseln Sie alle API-Schlüssel aus, ändern Sie Passwörter für alle verbundenen Konten (E-Mail, Messaging-Plattformen, Krypto-Wallets) und scannen Sie auf Malware. Aktualisieren Sie dann auf v2026.2.22, aktivieren Sie die Authentifizierung und holen Sie frische, legitime API-Credits von AI Perks, bevor Sie sich wieder verbinden.
Lohnt sich OpenClaw nach der Sicherheitskrise noch?
OpenClaw bleibt der leistungsstärkste verfügbare Open-Source-KI-Agent. Die Sicherheitsprobleme ergeben sich aus unsicheren Standardeinstellungen und einem sich schnell entwickelnden Skill-Ökosystem – nicht aus grundlegenden Designfehlern. Mit ordnungsgemäßer Härtung, legitimen Anmeldedaten und sorgfältiger Skill-Verwaltung ist es immer noch ein überzeugendes Werkzeug. Die wichtigste Lektion: Führen Sie es niemals mit den Standardeinstellungen aus.
Die Sicherheitskrise ist ein Weckruf für KI-Agenten
Die Krise von OpenClaw deckte eine harte Wahrheit auf: Open-Source-KI-Agenten mit Systemzugriff erfordern ernsthafte Sicherheits-Hygiene. Die standardmäßige "Installieren und loslegen"-Erfahrung, die OpenClaw viral machte, ist dieselbe, die über 135.000 Instanzen exponiert ließ.
Die OpenClaw Foundation (jetzt von OpenAI unterstützt, nach dem Wechsel von Peter Steinberger) arbeitet aktiv an der Behebung dieser Probleme. Version 2026.2.22 enthält über 40 Sicherheits-Härtungs-Patches. Die Community ist stärker, weil sie das durchgemacht hat.
Aber die Verantwortung liegt immer noch bei Ihnen. Aktualisieren Sie Ihre Installation, aktivieren Sie die Authentifizierung, überprüfen Sie Ihre Skills und starten Sie mit legitimen API-Zugangsdaten von AI Perks. Ob Sie bei OpenClaw bleiben oder zu einer verwalteten Alternative wechseln – Sie benötigen echte Credits, keine gestohlenen Schlüssel.
Abonnieren Sie unter getaiperks.com →
Lassen Sie nicht zu, dass eine Sicherheitskrise mehr kostet, als sie muss. Holen Sie sich legitime KI-Credits und betreiben Sie Ihre Tools sicher unter getaiperks.com.
