OpenClaw sicher deployen: Warum 42.000 Instanzen ungeschützt im Netz stehen – und wie es besser geht

OpenClaw professionell und sicher betreiben? WZ-IT deployt OpenClaw auf isolierter Infrastruktur in Deutschland – mit VPN, SSO und 24/7-Monitoring. Mehr zu unserer OpenClaw-Expertise oder direkt Beratungsgespräch vereinbaren.

OpenClaw hat in wenigen Wochen über 170.000 GitHub-Stars gesammelt und ist damit eines der am schnellsten wachsenden Open-Source-Projekte der Geschichte. Der autonome KI-Agent kann E-Mails verarbeiten, Termine verwalten, Code deployen und eigenständig Aufgaben ausführen – alles über WhatsApp, Telegram, Slack oder ein Dutzend anderer Kanäle.

Das Problem: Die Sicherheitslage ist katastrophal.

Sicherheitsforscher haben über 42.000 ungeschützte OpenClaw-Instanzen im öffentlichen Internet gefunden. Eine kritische Schwachstelle (CVE-2026-25253) ermöglicht One-Click Remote Code Execution. Und auf dem offiziellen Skill-Marktplatz ClawHub wurden 341 Skills identifiziert, die aktiv Malware verteilen (The Hacker News).

Dieser Artikel analysiert die konkreten Risiken – und liefert eine praxistaugliche Hardening-Checkliste für den sicheren Betrieb.

Inhaltsverzeichnis

• Was OpenClaw anders macht – und warum das gefährlich ist
• Prompt Injection: Wenn eine E-Mail den Agenten übernimmt
• 42.000 exponierte Instanzen: Das Gateway-Problem
• ClawHub: 341 Skills mit Malware
• CLOUD Act & DSGVO: Wenn der Agent Cloud-LLMs nutzt
• Hardening-Checkliste: OpenClaw sicher deployen
• Unser Vorgehen bei WZ-IT
• Weiterführende Inhalte

Was OpenClaw anders macht – und warum das gefährlich ist

OpenClaw ist kein Chatbot. Es ist ein autonomer Agent mit vollem Systemzugriff. Das unterscheidet ihn fundamental von Tools wie ChatGPT oder Claude, die auf die Konversation beschränkt sind.

Die „Lethal Trifecta"

Sicherheitsforscher von ToxSec und Dark Reading haben die Kernrisiken als „Lethal Trifecta" beschrieben (Dark Reading):

Dazu kommt eine vierte Dimension: Persistenter Speicher. OpenClaw merkt sich Kontext über Sessions hinweg in einer SQLite-Datenbank. Das ermöglicht Angriffe, die über Tage oder Wochen fragmentiert werden und sich erst bei der Ausführung zusammensetzen – sogenanntes Memory Poisoning (Trend Micro).

Heartbeat: Autonome Ausführung ohne Bestätigung

Das Heartbeat-System prüft alle 30 Minuten, ob Aufgaben anstehen, und führt sie ohne explizite Bestätigung aus. Das macht den Agenten proaktiv – aber auch anfällig für zeitgesteuerte Angriffe. Ein Payload, der in den persistenten Speicher injiziert wird, kann die HEARTBEAT.md-Datei manipulieren und so eine persistente Backdoor etablieren, die alle 30 Minuten feuert (OpenClaw Docs).

Prompt Injection: Wenn eine E-Mail den Agenten übernimmt

Prompt Injection ist das gravierendste Risiko für OpenClaw-Deployments. Da der Agent externe Inhalte aus E-Mails, Dokumenten, Webseiten und Chat-Nachrichten liest und verarbeitet, können Angreifer manipulierte Anweisungen einschleusen.

Wie Angriffe funktionieren

Sicherheitsforscher bei Zenity demonstrierten einen Proof-of-Concept: Ein präpariertes Google-Dokument enthielt versteckte Anweisungen, die OpenClaw dazu brachten, eine neue Telegram-Bot-Integration unter Kontrolle des Angreifers zu erstellen. Ab diesem Punkt konnte der Angreifer Befehle über den neuen Kanal senden – ohne dass der Nutzer Benachrichtigungen erhielt (eSecurity Planet).

Ein Journalist von Android Authority berichtete, dass er seinen eigenen Computer via Prompt Injection in OpenClaw hackte und es als „erschreckend einfach" bezeichnete (Android Authority).

Das Problem der Multi-Channel-Amplifikation

OpenClaw verarbeitet Inhalte aus bis zu 10+ Kanälen gleichzeitig. Eine einzige manipulierte Support-E-Mail kann theoretisch:

1. Kundendaten aus der Datenbank abfragen
2. Betrügerische Erstattungen auslösen
3. Slack-Nachrichten posten, die die Aktivität verschleiern

Die Kombination aus breitem Systemzugriff und fehlender Sandboxing macht jeden Kommunikationskanal zu einem potenziellen Angriffsvektor (Cisco Blogs).

42.000 exponierte Instanzen: Das Gateway-Problem

Innerhalb einer Woche nach dem viralen Wachstum von OpenClaw fanden Sicherheitsforscher über 42.000 ungeschützte Gateway-Instanzen im öffentlichen Internet (CyberSecurity News).

Warum so viele Instanzen offen stehen

Das OpenClaw-Gateway ist als lokaler Service konzipiert – Port 18789 auf localhost. Viele Nutzer exponieren es versehentlich durch:

• Fehlende Firewallregeln (UFW nicht konfiguriert)
• Offene Ports in Cloud-Security-Groups (AWS, Hetzner)
• Reverse Proxies ohne Authentifizierung
• Docker-Container, die Ports direkt ins Netz binden

Die Ergebnisse sind alarmierend: 93,4 % der öffentlich erreichbaren Instanzen hatten kritische Authentication-Bypass-Schwachstellen (JFrog).

Was Angreifer sehen

Wer Zugriff auf ein exponiertes Gateway erhält, kann:

• API-Keys und OAuth-Tokens auslesen
• Private Chat-Verläufe und E-Mails lesen
• Beliebige Shell-Befehle auf dem Host ausführen
• Dateien lesen, modifizieren und exfiltrieren
• Den Agenten als Proxy für weitere Angriffe nutzen

CVE-2026-25253: One-Click Remote Code Execution

Im Januar 2026 wurde CVE-2026-25253 veröffentlicht – eine kritische Schwachstelle (CVSS 8.8) in der Control UI. Die UI übernahm den gatewayUrl-Parameter aus dem Query-String ohne Validierung und verband sich automatisch, wobei der gespeicherte Token mitgesendet wurde.

Ergebnis: Ein einziger manipulierter Link reichte, um den Gateway-Token an einen Angreifer-Server zu senden und das gesamte System zu übernehmen. Gepatcht in Version 2026.1.29 (SOCRadar).

ClawHub: 341 Skills mit Malware

ClawHub ist der offizielle Marktplatz für OpenClaw-Erweiterungen – vergleichbar mit einem Plugin-Store. Sicherheitsforscher von Koi Security prüften alle 2.857 verfügbaren Skills und fanden 341 aktiv bösartige Einträge (The Hacker News).

Die „ClawHavoc"-Kampagne

335 der bösartigen Skills verteilten den Atomic macOS Stealer (AMOS) – einen Infostealer, der auf kriminellen Marktplätzen für 500-1.000 $/Monat gehandelt wird. AMOS extrahiert:

• Browser-Credentials und Cookies
• Keychain-Passwörter
• Kryptowallet-Daten
• SSH-Keys
• Dateien aus dem Home-Verzeichnis

Die Skills hatten professionelle Dokumentation und plausible Namen: solana-wallet-tracker, youtube-summarize-pro, polymarket-trader.

7,1 % aller Skills leaken Credentials

Unabhängig von der ClawHavoc-Kampagne fand Snyk, dass 283 weitere Skills (7,1 % des Registrys) Schwachstellen enthielten, die sensible Credentials exponieren (The Register).

Die Lehre: Kein Skill sollte ohne manuelles Code-Review installiert werden.

CLOUD Act & DSGVO: Wenn der Agent Cloud-LLMs nutzt

OpenClaw selbst ist nur die „Hand" – das Sprachmodell ist das „Gehirn". Wenn als Backend GPT-4, Claude oder ein anderer US-gehosteter Dienst konfiguriert ist, werden sämtliche Prompts und Kontextdaten an US-Provider übertragen.

Das kollidiert direkt mit europäischem Datenschutzrecht:

• Der CLOUD Act erlaubt US-Behörden Zugriff auf Daten von US-Unternehmen – unabhängig vom Serverstandort
• Die DSGVO verlangt eine Rechtsgrundlage für Transfers in Drittstaaten
• Der EU AI Act (ab 2. August 2026) verschärft die Pflichten für autonome KI-Systeme

Wer sensible Unternehmens- oder Kundendaten durch OpenClaw verarbeitet und als LLM-Backend eine US-API nutzt, hat ein fundamentales Compliance-Problem.

Die Alternative: Lokale Modelle via Ollama (Llama 3.3 70B, Mistral Large, Qwen 2.5) auf eigener GPU-Infrastruktur – ohne Datenabfluss, volle DSGVO-Konformität. Mehr dazu in unserem Beitrag zur KI-Souveränität.

Hardening-Checkliste: OpenClaw sicher deployen

Die folgenden Maßnahmen reduzieren die Angriffsfläche erheblich. Sie basieren auf den offiziellen Docs, unabhängigen Security-Audits und unserer eigenen Deployment-Erfahrung (OpenClaw Docs, Adversa AI).

Netzwerk

Authentifizierung & Secrets

Host-Hardening

Skill-Vetting

Monitoring & Governance

Unser Vorgehen bei WZ-IT

Beim Deployment von OpenClaw für Unternehmen setzen wir auf eine mehrstufige Sicherheitsarchitektur:

• Isolierte Infrastruktur: Dedizierte VMs in deutschen Rechenzentren – keine Shared-Hosting-Umgebungen, keine Multi-Tenant-Risiken.
• Netzwerk-Isolation: VPN-only Zugang über Tailscale oder WireGuard. Kein Gateway-Port ist öffentlich erreichbar.
• SSO-Integration: Authentifizierung über Authentik oder Keycloak – keine lokalen Passwörter.
• Lokale LLMs: Wenn gewünscht, deployen wir Ollama mit Open WebUI auf dedizierten GPU-Servern – keine Datenübertragung an US-Provider.
• 24/7-Monitoring: Automatisierte Überwachung aller Agenten-Aktionen, Heartbeat-Zyklen und API-Kosten. Alarmierung bei Anomalien.
• Security-Updates: Regelmäßige Patches und Skill-Audits inklusive.

Wir verstehen uns als Verlängerung Ihres IT-Teams – nicht als Black Box.

Weiterführende Inhalte

• OpenClaw Managed Hosting & Installation
• KI-Souveränität: Warum deutsche Firmen ihre Daten nicht an US-KI-Dienste senden sollten
• DSGVO-konforme KI-Inferenz mit GPU-Servern
• Open WebUI vs. AnythingLLM: Der Vergleich
• NetBird vs. Tailscale: VPN-Alternativen im Vergleich

Quellenverzeichnis

• eSecurity Planet: OpenClaw or Open Door? Prompt Injection Creates AI Backdoors
• Cisco Blogs: Personal AI Agents like OpenClaw Are a Security Nightmare
• CyberSecurity News: 21,000+ OpenClaw AI Instances Exposed Online
• SOCRadar: CVE-2026-25253 – 1-Click RCE in OpenClaw
• The Hacker News: Researchers Find 341 Malicious ClawHub Skills
• The Register: It's easy to backdoor OpenClaw, and its skills leak API keys
• Dark Reading: OpenClaw's Gregarious Insecurities Make Safe Usage Difficult
• Trend Micro: What OpenClaw Reveals About Agentic Assistants
• CrowdStrike: What Security Teams Need to Know About OpenClaw
• JFrog: Giving OpenClaw The Keys to Your Kingdom
• Adversa AI: OpenClaw Security 101 – Vulnerabilities & Hardening 2026
• OpenClaw Official Security Docs
• Android Authority: I hacked my own computer using OpenClaw