Blog
OpenClaw im Microsoft‑Ökosystem: Wie KI‑Agenten die Sicherheitsgrenze verschieben
Expert Consultant
Senior Consultant
Was ist OpenClaw?
OpenClaw ist eine selbst gehostete AI-Agent-Runtime, die KI-Agenten mit weitreichenden Berechtigungen lokal auf Workstations, VMs, Servern oder Containern ausführt. Im Gegensatz zu klassischen Chat-Apps führt OpenClaw aktiv Aktionen aus, z. B. auf Dateien, in der Shell, im Browser oder über APIs. Sie nutzt dabei die Identitäten und Rechte, die ihr zugewiesen werden.
Kritisch ist, dass die Runtime „untrusted“ Textquellen verarbeitet, externe Skills dynamisch nachlädt und mit dauerhaften Tokens oder Credentials arbeitet. So verschiebt sich die Sicherheitsgrenze von geprüftem Anwendungscode hin zu dynamischem Verhalten aus Inhalten und Drittanbieter-Paketen – mit erheblichen Risiken.
Aufgrund der raschen Verbreitung von OpenClaw – ursprünglich als Clawdbot gestartet und kurzzeitig in Moltbot umbenannt – existieren bereits zahlreiche, teils unkontrollierte Installationen. So entstehen „Shadow AI“-Instanzen, die sich der IT-Governance entziehen. OpenClaw ist damit ein typisches Beispiel für leistungsfähige „Personal AI Agents“, bei denen Security oft optional statt designintegriert ist.
Risiken mit OpenClaw
Im Enterprise-Kontext verschiebt OpenClaw die Sicherheitsgrenze fundamental: Entscheidungslogik (LLM) und Ausführung (Runtime mit Tools) treffen auf dauerhaft hinterlegte Identitäten. Genau diese Kombination macht OpenClaw aus Sicht von Microsoft zu „untrusted code execution with persistent credentials“ – also zu einem Ausführungsmodell, das die klassischen Sicherheitsannahmen für Workstations sprengt.
Die zentralen Risikotreiber lassen sich in fünf Punkte zusammenfassen:
- Identitäts‑ und Datenradius (Keys to the Kingdom):
Sobald ein Agent über Tokens oder Secrets verfügt, kann er auf M365‑Ressourcen in dem Umfang zugreifen, den diese Identität erlaubt – inklusive Datenzugriff und Aktionen über legitime APIs. Exfiltration bleibt dabei häufig unauffällig, da sie sich als legitime Automatisierung tarnt. - Zwei Supply Chains in einem Loop: Untrusted Instructions + Untrusted Code
OpenClaw verarbeitet „untrusted“ Inhalte (z. B. E‑Mails, Webseiten oder Dokumente) und kann gleichzeitig Skills (ausführbaren Code) nachladen. Dadurch treffen Prompt‑Manipulation und Code Supply Chain in einem kontinuierlichen Ausführungszyklus zusammen. - Indirect Prompt Injection:
Wenn „Daten“ zu Steuerbefehlen werden, müssen Angreifer den Agent nicht direkt ansprechen. Es reicht, Inhalte zu vergiften, die der Agent liest. So kann die Nutzung von Tools gesteuert oder das Verhalten über die Zeit beeinflusst werden – was besonders kritisch ist, wenn der Agent mit weitreichenden Rechten arbeitet. - Skill‑Ökosystem als Angriffsfläche (Supply Chain / Malware‑fähige Skills):
Skills sind de facto Erweiterungen, die lokal ausgeführt werden. Untersuchungen und Beispiele zeigen, dass Skills missbraucht werden können, z. B. für Datenabfluss oder versteckte bösartige Logik. Popularität ist kein Qualitäts- oder Sicherheitsnachweis. - Persistenz durch „Memory“/State: langlebige Manipulation statt Einmal‑Exploit
Da OpenClaw die Konfiguration, Historie und den Zustand speichert, können Manipulationen oder kompromittierte Zustände über Sessions hinweg wirken. Dadurch wird der Schaden nicht auf einen bestimmten Zeitpunkt begrenzt, sondern kann sich schleichend etablieren.
Unterm Strich: OpenClaw ist nicht „nur ein Tool“, sondern ein hochprivilegierter Automatisierungs‑Akteur. Das Risiko entsteht weniger durch einen einzelnen Bug, sondern durch das Architekturprinzip: Ein Agent interpretiert „untrusted input“, kann fremden Code nachladen und darf mit persistenten Microsoft‑Identitäten handeln.
Detection & Hunting
Claw Hunter
Ein zentrales Werkzeug zur Erkennung von OpenClaw ist Claw Hunter – eine Open‑Source‑Lösung, die speziell zur Erkennung, Auditierung und Risikoanalyse von OpenClaw‑Instanzen auf macOS, Linux und Windows entwickelt wurde.
Claw Hunter kann:
- aktive und inaktive Installationen erkennen
- Gateway‑Fehlkonfigurationen identifizieren
- Secrets und Tokens aufspüren
- Berechtigungen und Shell‑Zugriff prüfen
- Ergebnisse strukturiert (JSON) für SIEM-Systeme bereitstellen
Claw Hunter macht Shadow‑AI‑Aktivitäten sichtbar und gibt priorisierte Risiko‑Scores aus.
Indicators of Compromise (IoCs)
Typische Merkmale kompromittierter OpenClaw‑Instanzen umfassen:
- unbekannte Hintergrundprozesse
- Netzwerkanfragen zu ClawHub‑Resourcen
- verdächtige CLI‑ oder Shell‑Kommandos
- neue Cronjobs oder Autostart‑Einträge
(übergreifende Analysen basieren u. a. auf der Forschung von Microsoft, Backslash Security und Bitdefender)
Fazit
OpenClaw ist ein leistungsfähiger, jedoch auch hochgradig risikobehafteter AI‑Agenten‑Runtime‑Stack. Seine Fähigkeit, Code dynamisch nachzuladen, externe Quellen unkontrolliert zu verarbeiten und tiefen Systemzugriff zu erhalten, macht OpenClaw für Angreifer attraktiv und für Unternehmen gefährlich.
Durch die Kombination aus:
- strikter Isolation,
- dedizierten Schutzmaßnahmen,
- Erkennungstools wie Claw Hunter,
- Blocking‑Policies auf Endgeräten (z. B. Intune) und
- klaren Governance‑Regeln
können Organisationen das Risiko effektiv minimieren.
OpenClaw sollte niemals auf produktiven Arbeitsgeräten mit sensiblen Identitäten laufen. Mit den richtigen Kontrollen kann man das Tool sicher analysieren , aber nicht ohne bewusstes Risiko‑Management.
Das könnte Ihnen auch gefallen
- Blog
- Blog
- Case Studies