Der Sicherheitsexperte Johann Rehberger warnt vor dem KI-Projekt „OpenClaw“, das seit seinem Start Ende letzten Jahres nach wenigen Wochen mutmaßlich millionenfach genutzt wird. Der offene und mächtige KI-Agent berge erhebliche Sicherheitsrisiken, insbesondere durch mögliche Angriffe von außen und den weitreichenden Zugriff auf Computersysteme, sagte Rehberger der dts Nachrichtenagentur.
„Sehr offenes und mächtiges System“ mit umfassendem Zugriff
Johann Rehberger bezeichnet „OpenClaw“ als besonders riskant. „OpenClaw gilt als riskant, weil es ein sehr offenes und mächtiges System ist, das mit vielen anderen Systemen integriert werden kann“, sagte Rehberger der dts Nachrichtenagentur. Die Open-Source-Software ist ein sogenannter KI-Agent, ein Computerprogramm, das unter anderem über Messaging-Plattformen wie WhatsApp, Telegram oder Signal Aufträge annehmen und ausführen kann und so automatisierte Arbeitsabläufe über mehrere Dienste hinweg ermöglicht.
Das System benötigt umfassenden Zugriff auf einen Computer und wird auch autonom tätig, also ohne direkte Benutzereingabe desjenigen, der es installiert hat. Aus Sicht des Sicherheitsexperten entstehen dadurch mehrere Angriffsflächen für potenzielle Angreifer.
Klassische Sicherheitslücken und „Prompt Injection“
Rehberger sieht zwei zentrale Problemfelder. Zum einen gebe es klassische Sicherheitslücken, die es Angreifern erlauben, das System zu übernehmen. „Als Benutzer muss man daher stets auf dem aktuellen Stand bleiben und Systeme regelmäßig patchen, vor allem wenn Sicherheitsupdates erscheinen“, sagte er.
Zum anderen warnt der Experte vor dem Problem der „Prompt Injection“, bei dem externe Inhalte den Assistenten zu schädlichem Verhalten verleiten können. „Dieses Problem hat derzeit keine echte Lösung“, so Rehberger. So könnte der Assistent beim Lesen einer E-Mail dazu gebracht werden, andere Daten vom Computer auszulesen und an einen Angreifer zu senden oder Daten zu löschen.
Wer mit dem System experimentieren möchte, sollte laut Rehberger vorsichtig vorgehen. „Wer mit dem System experimentieren möchte, sollte dies daher am besten in einer isolierten Umgebung tun und sich genau überlegen, welche Daten man mit dem Assistenten teilt“, rät der Experte. Er ergänzt: „Ich würde davon abraten, den Assistenten direkt auf dem eigenen Computer mit vollem Zugriff auf alle Daten zu betreiben, und stattdessen eine separate Umgebung ausschließlich für den Assistenten zu verwenden und dort gezielt Daten mit dem Assistenten zu teilen.“
Skepsis gegenüber Plattform „Moltbook“
In Bezug auf das mit „OpenClaw“ gestartete „Moltbook“ – eine Plattform, auf der sich angeblich KI-Agenten untereinander austauschen und Menschen nur dabei zuschauen dürfen – zeigt sich Rehberger skeptisch. „Natürlich ist das System stark von Scammern infiltriert, die vor allem mit politischen Nachrichten und Krypto-Botschaften andere Teilnehmer beeinflussen wollen“, sagte er.
Nach seinen Angaben tummeln sich dort viele normale Benutzer und typische Scambots, die sich einfach als KI ausgeben. „Technisch kann der Betreiber ja nicht zwischen normalen Benutzer, Bot oder KI unterscheiden“, so der Experte. Das System sei weitgehend mit „Vibe Coding“ erstellt worden, also ebenfalls durch KI-Eingaben, wodurch Sicherheitslücken praktisch vorprogrammiert seien.
„Und das hat man ja auch bereits gesehen, es war möglich, einfachen Zugriff auf die komplette Datenbank mit allen registrierten Nutzern und Agenten sowie deren Zugriffstokens zu erhalten“, sagte Rehberger der dts Nachrichtenagentur. Er selbst habe letzte Woche versucht, den Entwickler auf Schwachstellen hinzuweisen, habe aber keine Antwort erhalten. „In vielerlei Hinsicht erinnert mich das an die frühen Tage des Wilden Westens des Internets. Vorsicht ist also geboten.“
✨ mit KI bearbeitet
