• 02. April 2026
  • Lesezeit 13 Minuten
OpenClaw-Sicherheitsbest Practices

OpenClaw erreichte innerhalb weniger Tage 150.000 GitHub-Sterne, doch leider hinkten die Sicherheitsvorkehrungen hinterher. Über 30.000 OpenClaw-Instanzen sind derzeit im offenen Internet zugänglich, und mehr als 340 schädliche Skills wurden auf dem ClawHub-Marktplatz entdeckt. Eine Sicherheitsanalyse von fast 4.000 Skills ergab, dass 7,1 % kritische Schwachstellen aufwiesen, die Zugangsdaten im Klartext preisgaben. Das chinesische Ministerium für Industrie und Informationstechnologie hat daraufhin eine nationale Sicherheitswarnung herausgegeben.

Anders als ein Chatbot agiert OpenClaw eigenständig, liest Ihre Dateien, greift auf Ihre Zugangsdaten zu und interagiert mit Ihren Messaging-Plattformen. Diese Autonomie ist zwar der Sinn des Tools, aber gleichzeitig auch sein Hauptproblem. Traditionelle LLM-Sicherheit konzentriert sich auf die Kontrolle schädlicher Ausgaben – ein wesentlicher Bestandteil der KI-Lösungsentwicklung. Die KI-Sicherheit von OpenClaw ist jedoch völlig anders. Wenn eine KI mit Systemzugriff arbeitet, ist die Angriffsfläche nicht nur das Modell selbst, sondern Ihre gesamte Infrastruktur. Die Frage lautet nicht: „Was könnte sie sagen?“, sondern: „Was könnte sie mit Ihren Systemen, Ihren Daten und Ihrem Unternehmen anstellen, während Sie nicht hinschauen?“ Genau darum geht es in diesem Leitfaden.

OpenClaw-Sicherheitsrisiken erklärt

Um effektive Strategien zu deren Management zu entwickeln, ist es unerlässlich, die genauen Sicherheitsrisiken von OpenClaw AI zu verstehen. Die Schwachstellen von OpenClaw sind direkt mit seiner Funktionalität verknüpft, weshalb sie so schwer zu beheben sind. Sie müssen eine Lösung mit diesen Agenten und einer Sicherheitsarchitektur entwickeln, um das Risiko zu minimieren.

Sofortige Injektion & Indirekte Sofortige Injektion

OpenClaw reagiert nicht nur auf Ihre Eingaben. Es verarbeitet externe Inhalte: E-Mails, Webseiten, Tickets, Slack-Nachrichten und Dokumente. Angreifer können schädliche Anweisungen in diese Inhalte einbetten, die der Agent dann pflichtgemäß ausführt. CrowdStrike demonstrierte eine reale Angriffskette: Ein Angreifer postet eine scheinbar harmlose Nachricht in einem Discord-Kanal, der von einem OpenClaw-Bot überwacht wird. Innerhalb weniger Augenblicke exfiltriert der Agent private Konversationen und veröffentlicht sie. Der Agent bemerkt die Manipulation nicht. Genau das ist das Tückische daran: Durch indirektes Einschleusen von Anweisungen verschwimmt die Grenze zwischen Daten und Befehlen. Jede E-Mail, die Ihr Agent liest, stellt ein potenzielles Einfallstor für Angriffe dar.

Angriffe auf die Lieferkette von Fähigkeiten/Plugins

OpenClaws Stärke liegt unter anderem in seinem Skill-Ökosystem (ClawHub). Das Problem: Forscher haben Hunderte von schädlichen Skills auf ClawHub entdeckt, die sich als legitime Tools tarnen. Eine Analyse von Snyk an 3.984 ClawHub-Skills ergab, dass 7,1 % kritische Schwachstellen aufwiesen, die sensible Zugangsdaten im Kontextfenster des LLM offenlegten. Einige Skills enthielten sogar Stealer-Malware, Hintertüren für Fernzugriff und Datenexfiltrations-Payloads. Diese Sicherheitslücken von OpenClaw sind also in scheinbar harmlosen Tools versteckt.

Überprivilegierte Agenten

OpenClaw läuft mit den von Ihnen erteilten Berechtigungen, die standardmäßig sehr umfangreich sind (Dateisysteme, Messaging-Plattformen, API-Token und Shell-Zugriff). Das Sicherheitsforschungsteam von Microsoft formuliert es deutlich: Die Nutzung von OpenClaw ist keine Konfigurationsfrage, sondern eine Vertrauensentscheidung darüber, welche Maschinen, Identitäten und Daten Sie preisgeben möchten. Die meisten Organisationen umgehen diese Entscheidung und nutzen OpenClaw mit vollem Systemzugriff.

Risiken der autonomen Ausführung

Agenten können mehrere Tool-Aufrufe verketten, um komplexe Aufgaben zu erledigen. Dies steigert zwar die Produktivität, birgt aber ein hohes Sicherheitsrisiko. Ein einziger erfolgreicher Angriff kann eine Kettenreaktion auslösen: Aufklärung, laterale Bewegung, Diebstahl von Zugangsdaten und Datenexfiltration. Die Sicherheitsrisiken von OpenClaw AI verstärken sich hier rasant, da der legitime Zugriff des Agenten auf APIs, Datenbanken und Cloud-Dienste dem Angreifer zur Verfügung steht – und zwar in Maschinengeschwindigkeit und ohne menschliche Aufsicht.

Sicherheitsansätze für KI-Agenten, die für OpenClaw funktionieren

Bevor wir zur Checkliste kommen, sollten wir über die Prinzipien sprechen, denn einzelne Maßnahmen ohne ein schlüssiges Konzept sind wie ein Kampf gegen Windmühlen. Bei der Behebung von OpenClaw-Schwachstellen sollte Ihr Hauptaugenmerk stets darauf liegen, den Zugriff einzuschränken und in jedem Schritt Sicherheitsvorkehrungen zu implementieren.

  • Zero-Trust-Agenten-Design
    Behandeln Sie alles standardmäßig als nicht vertrauenswürdig – jede Eingabe, jede Fähigkeit, jeden Aufruf externer Tools. Gehen Sie nicht davon aus, dass die Daten, die ein Agent liest, sicher sind, nur weil sie aus einer bekannten Quelle stammen.
  • Minimale Privilegien
    Gewähren Sie Ihrem Agenten nur die minimalen Berechtigungen, die er für seine Aufgaben benötigt. Wenn er lediglich ein bestimmtes Verzeichnis lesen muss, gewähren Sie ihm keinen Zugriff auf das gesamte Dateisystem. Wenn er E-Mails versenden soll, geben Sie ihm kein Token, mit dem er auch Ihre Cloud-Infrastruktur löschen kann.
  • Isolierung
    Agenten sollten niemals auf Ihrem primären Arbeitsplatzrechner oder neben Produktionssystemen ausgeführt werden. Betrachten Sie sie als Prozesse mit eingeschränkter Vertrauenswürdigkeit, die unabhängig von ihrem Verhalten isoliert bleiben sollten.
  • Der Mensch im Regelkreis (HITL)
    Für jede sensible Aktion, wie beispielsweise das Senden von Nachrichten oder das Ausführen von Shell-Befehlen, ist vor dem Fortfahren durch den Agenten eine ausdrückliche menschliche Genehmigung erforderlich.
OpenClaw-Sicherheitsbest Practices

OpenClaw-Sicherheits-Best Practices 2026

Hier werden wir praktisch und erläutern die Best Practices für OpenClaw-Sicherheit, die wir beim Aufbau agentenintegrierter Systeme für unsere Kunden anwenden. Wir skizzieren den allgemeinen Ansatz, weisen aber darauf hin, dass die Lösung individuell auf jeden Anwendungsfall zugeschnitten wird. Daher kombinieren wir diese Strategien häufig mit zusätzlichen Sicherheitstools und -verfahren, um die jeweilige Situation optimal zu erfüllen.

OpenClaw in einer Sandbox ausführen

Führen Sie OpenClaw niemals direkt auf Ihrem Hauptrechner oder einem Produktivsystem aus. Dies ist die wirkungsvollste Kontrollmaßnahme, die Sie implementieren können, und sie kostet nahezu nichts.

Der richtige Ansatz ist:

  • OpenClaw kann in einem Docker-Container, einer dedizierten virtuellen Maschine oder einer anderen Form isolierter Umgebung ausgeführt werden.
  • Entscheidend ist, die Umgebung als vergänglich zu behandeln. Wenn Sie vermuten, dass der Agent kompromittiert wurde, installieren Sie ihn neu. Versuchen Sie nicht, ihn zu bereinigen, sondern löschen Sie alle Daten und starten Sie ihn neu. Eine Agentenkompromittierung äußert sich oft eher durch subtile Konfigurationsänderungen als durch offensichtliche Malware-Einschleusungen.
  • Geheimnisse sollten vollständig außerhalb des Dateisystems des Agenten gespeichert werden. Der Agent sollte keinen Zugriff auf Ihre .env-Dateien, Anmeldeinformationsspeicher oder Konfigurationsdateien mit Token haben. Dieser Ansatz reduziert die Sicherheitslücken von OpenClaw, die durch fehlerhafte Konfigurationen entstehen können, erheblich.

Dateisystem- und Werkzeugzugriff einschränken

Weisen Sie Ihrem Agenten einen klar definierten Arbeitsbereich zu und sonst nichts.

  • Wenn OpenClaw Berichte aus einem bestimmten Datenverzeichnis erstellen soll, sollte es auf dieses Verzeichnis beschränkt werden.
  • Deaktivieren Sie den Shell-Zugriff, es sei denn, Ihr Anwendungsfall erfordert ihn ausdrücklich. Beschränken Sie externe Tool-Aufrufe auf diejenigen, die der Agent tatsächlich zum Funktionieren benötigt.

Dies ist das Prinzip der minimalen Berechtigungen in der Praxis. Die OpenClaw-Dokumentation beschreibt zwar die Docker-basierte Tool-Sandbox, diese ist jedoch nicht standardmäßig aktiviert und muss daher explizit aktiviert werden. Der Workspace-bezogene Zugriff stellt sicher, dass Angreifer selbst bei Kompromittierung des Agenten keinen Zugriff auf sensible Systembereiche erlangen können.

API-Schlüssel und Geheimnisse schützen

Agenten weisen Sicherheitslücken auf. Selbst ohne böswillige Absicht können Sprachmodelle unbeabsichtigt sensible Daten, darunter API-Schlüssel, Token und Anmeldeinformationen, in ihren Ausgaben oder Protokollen wiedergeben. Dies ist eine dokumentierte Kategorie von OpenClaw-Sicherheitsproblemen, die viele Implementierungen betrifft.

Die Lösung: Geheimnisse niemals direkt an den Agenten weitergeben.

  • Verwenden Sie einen Geheimnismanager (AWS Secrets Manager, HashiCorp Vault oder ein ähnliches Produkt).
  • Umgebungsvariablen zur Laufzeit einfügen.
  • Leiten Sie API-Aufrufe über einen Proxy, der die Authentifizierung im Namen des Agenten übernimmt.
  • Die Token sollten regelmäßig ausgetauscht werden. Bei Feststellung eines anomalen Verhaltens ist jeder Token, den der Agent berührt hat, als potenziell kompromittiert zu betrachten.

Sperrung von Messaging-Schnittstellen

Die Integrationen von OpenClaw mit Messaging-Plattformen (Slack, Discord, Telegram, WhatsApp) zählen zu den leistungsstärksten Funktionen und gleichzeitig zu den größten Angriffsflächen. Ein Angreifer, der weiß, dass Ihr Agent einen öffentlichen Kanal überwacht, kann dort Nachrichten mit schädlichen Anweisungen veröffentlichen. Es handelt sich um einen äußerst einfachen Angriffsmechanismus.

Die Lösung: Abriegeln!

  • Konfigurieren Sie die Liste der zulässigen Absender so, dass der Agent nur Nachrichten von vertrauenswürdigen Benutzern verarbeitet.
  • Offenen Gruppenzugriff deaktivieren.
  • Verwenden Sie Mention-Gating, damit der Agent nur antwortet, wenn er explizit aufgerufen wird.
  • Vor jeder Aktion, die der Agent aufgrund einer externen Nachricht ergreift, muss eine menschliche Genehmigung erforderlich sein.

Diese Kontrollmechanismen gehen direkt auf eine wichtige Kategorie von Sicherheitsrisiken des OpenClaw AI-Agenten ein: externe Parteien, die Ihrem Agenten aus der Ferne Befehle erteilen.

Externe Daten als feindlich behandeln

Dies erfordert einen Mentalitätswandel, nicht nur technische Kontrollmaßnahmen. Alles, was OpenClaw liest – E-Mails, URLs, PDFs, Dokumente, Slack-Nachrichten oder Webseiten – sollte als potenziell schädlich betrachtet werden.

Das Sicherheitsmodell sollte wie folgt aussehen: Nicht vertrauenswürdige Daten → gefiltert und bereinigt → dann an den Agenten weitergeleitet.

In der Praxis bedeutet dies:

  • Implementierung von Eingabebereinigungsschichten, bevor die Daten den Agenten erreichen.
  • Entfernen von Kontrollsequenzen aus aufgenommenen Inhalten.
  • Eingaben, die ungewöhnliche, anweisungsähnliche Muster enthalten, werden gekennzeichnet.

Dies ist besonders wichtig für Organisationen, in denen OpenClaw Daten aus großen Datenmengen liest, wie z. B. E-Mail-Postfächer oder Ticketsysteme.

Audit-Fähigkeiten und Plugins

Führen Sie vor der Installation einer ClawHub-Funktion eine grundlegende Sicherheitsprüfung durch:

  • Überprüfen Sie den Quellcode
  • Überprüfen Sie die Identität des Wartungsbetreibers
  • Überprüfen Sie, welche Berechtigungen die Fähigkeit anfordert
  • Suchen Sie nach externen Netzwerkaufrufen, die dort nicht vorhanden sein sollten

Einfache Regel: Wenn du den Code nicht lesen kannst, installiere ihn nicht.

Ein solider Sicherheitsprüfungsprozess für OpenClaw-Skills umfasst die Überprüfung des SHA-256-Hashwerts des Skills mit VirusTotal, die Überprüfung des GitHub-Verlaufs auf plötzliche Änderungen und das Testen in einer isolierten Umgebung vor der Bereitstellung auf wichtigen Systemen. Schadsoftware wird häufig durch geringfügige Namensänderungen von legitimen Skills kopiert.

Behandeln Sie die Installation von Skills genauso wie die Installation einer neuen Abhängigkeit in einer Produktionsumgebung: mit größter Sorgfalt. Wenn Sie bereits einen Agenten betreiben, können Sie Software-Audit-Dienste nutzen, um die Sicherheit Ihrer Konfiguration zu überprüfen.

Sicherheitsüberwachung aktivieren

Wenn es nicht protokolliert wird, hat es nicht stattgefunden, zumindest nicht aus der Sicht Ihres Sicherheitsteams. OpenClaw sollte so konfiguriert werden, dass jeder Tool-Aufruf, jeder Shell-Befehl, jede Netzwerkanfrage und jeder Dateizugriff protokolliert wird. Diese Protokolle sollten an ein SIEM-System (Security Information and Event Management) gesendet und auf ungewöhnliches Verhalten überwacht werden.

Wie sieht etwas Anomales aus?

  • Ein Agent greift plötzlich auf Verzeichnisse zu, die er zuvor noch nie berührt hat.
  • Ausgehende Netzwerkanrufe zu ungewöhnlichen Zielen.
  • Ein plötzlicher Anstieg der Shell-Befehlsausführung. Eine Fähigkeit, die um 3 Uhr morgens ein neues Paket installiert.

Als Sicherheitstool von OpenClaw dient die umfassende Protokollierung als Frühwarnsystem. Sie verhindert zwar keinen Sicherheitsvorfall, liefert Ihnen aber die notwendigen Informationen, um diesen schnell einzudämmen.

Regelmäßig aktualisieren

OpenClaw entwickelt sich so rasant, dass die meisten Software-Releases dagegen träge wirken. Daher werden regelmäßig neue Sicherheitslücken in OpenClaw entdeckt. Glücklicherweise wurden einige davon bereits behoben, darunter eine Schwachstelle, die die Ausführung von Remote-Code mit nur einem Klick ermöglichte, und eine Authentifizierungs-Bypass-Schwachstelle, die API-Token über WebSocket offenlegte.

  • Abonnieren Sie die Sicherheitswarnungen von OpenClaw.
  • Überwachen Sie die GitHub-Releases des Projekts.
  • Sorgen Sie für einen transparenten Patch-Prozess, um sicherzustellen, dass Updates schnell bereitgestellt werden.
  • Scannen Sie die von Ihnen verwendete Fähigkeit nach größeren Updates erneut auf VirusTotal.

OpenClaw KI-Sicherheit: Überlegungen zur Unternehmensbereitstellung

Organisationen, die OpenClaw im Rahmen der Entwicklung von Unternehmenssoftware einsetzen, benötigen Kontrollmechanismen, die über die Härtung einzelner Instanzen hinausgehen, wie zum Beispiel:

  • Identitätsmanagement
    Jede Agenteninstanz sollte über eine eigene Identität mit definierten Berechtigungen verfügen. Anmeldeinformationen dürfen niemals zwischen Agenten oder zwischen Agenten und menschlichen Benutzern geteilt werden. Verwenden Sie nach Möglichkeit kurzlebige Token und integrieren Sie eine automatische Tokenrotation in Ihre Bereitstellungspipeline. Sicherheitsrisiken für OpenClaw AI-Agenten in Unternehmensumgebungen im Jahr 2026 resultieren häufig aus gemeinsam genutzten Anmeldeinformationen, wodurch die Kompromittierung eines Agenten die gesamte Bereitstellung gefährden kann.
  • Netzwerksteuerung
    Beschränken Sie den ausgehenden Datenverkehr von Agenten-Hosts auf bekannte, zugelassene Ziele. Leiten Sie alle API-Aufrufe über einen Proxy, der den Datenverkehr prüfen und protokollieren kann. Blockieren Sie den direkten Internetzugriff für Agentenprozesse, sofern dieser nicht explizit erforderlich ist. Diese Maßnahmen reduzieren die Angriffsfläche für Datenexfiltration erheblich.
  • Überwachung
    Integrieren Sie Agentenaktivitätsprotokolle von Anfang an in Ihr SIEM-System. Erstellen Sie Playbooks zum Schutz vor Identitätsdiebstahl bei Agenten: Isolation, Token-Widerruf, Überprüfung der Einwilligung und forensische Analyse des Arbeitsbereichs. Die von Microsoft Defender XDR für OpenClaw-Bereitstellungen bereitgestellten Suchabfragen bieten einen hervorragenden Ausgangspunkt für die Erkennungsentwicklung.

Neue Lösungsansätze für OpenClaw-Sicherheitsprobleme

Das Ökosystem der Sicherheitswerkzeuge rund um OpenClaw holt langsam, aber bedeutsam auf.

  • SecureClaw
    SecureClaw ist ein von der Community entwickeltes Sicherheits-Plugin, das KI-Agenten-Bereitstellungen um regelbasierte Durchsetzung, Auditierung und Echtzeit-Agentenüberwachung erweitert. Es bietet einen strukturierteren Ansatz für die Sicherheits-Governance von OpenClaw und ist besonders nützlich für Teams, die Richtlinien als Code zur Steuerung des Agentenverhaltens benötigen.
  • VirusTotal Skill Scanning
    OpenClaw arbeitet mit dem Google-Unternehmen VirusTotal zusammen, um alle auf ClawHub hochgeladenen Skills mithilfe der Threat-Intelligence-Plattform von VirusTotal, einschließlich der Code-Insight-Funktion, zu scannen. Die Skills werden gehasht, mit der VirusTotal-Datenbank abgeglichen und auf schädliche Muster analysiert. Unbedenkliche Skills werden automatisch freigegeben, verdächtige markiert und bestätigte schädliche Skills blockiert. Alle aktiven Skills werden täglich erneut gescannt. Die Entwickler von OpenClaw weisen zu Recht darauf hin, dass dies kein Allheilmittel ist, aber die Hürde für Angreifer deutlich erhöht.

Wie Sie OpenClaw-Sicherheitsrisiken mit dem richtigen Partner managen

OpenClaw steht für etwas Neues: KI, die nicht nur spricht, sondern auch handelt. Dieser Wandel vom Berater zum Bediener verändert die Sicherheitsbewertung grundlegend. Das Bedrohungsmodell für einen KI-Agenten mit Shell-Zugriff, Dateiberechtigungen und API-Tokens ähnelt eher dem eines privilegierten internen Dienstes als dem eines Chatbots. Entsprechend sollten Sie ihn behandeln.

Um die Sicherheit der OpenClaw-KI optimal zu gewährleisten, sind Isolation vor der Bereitstellung, strenge Berechtigungsmodelle von Anfang an, kontinuierliche Überwachung und eine sinnvolle menschliche Kontrolle sensibler Aktionen erforderlich. Sicherheit lässt sich nicht nachträglich hinzufügen.

Diese Dynamik haben wir in zahlreichen Kundenprojekten beobachtet. Bei unserer Zusammenarbeit mit Enorasys, einem Projekt, das später von IBM ausgezeichnet wurde, um deren Plattform für das Management von Cyberbedrohungen zukunftssicher zu gestalten, war die Lehre eindeutig: Proaktive Architektur ist reaktiven Patches stets überlegen. Dasselbe Prinzip gilt für die Sicherheitsbedenken bei OpenClaw: Planen Sie für potenzielle Angriffsszenarien, bevor Sie sich in ihnen befinden, nicht erst danach.

Bei Redwerk umfasst unser KI-Entwicklungsprozess eine durchgängige Sicherheitsarchitektur für agentenbasierte Systeme – von Sandboxing und Design über Software-Audits, Monitoring und Integration bis hin zur Überprüfung der Kompetenzen der Agenten. Ob Sie Ihre Abläufe mit KI-Automatisierung digitalisieren oder eine bestehende Plattform modernisieren, um Agenten-Workflows zu unterstützen: Wir stellen sicher, dass Sicherheit von Anfang an integriert ist.

Sie möchten OpenClaw oder ein anderes KI-Agenten-Framework integrieren, ohne schlaflose Nächte zu haben? Dann lassen Sie uns reden.

Sehen Sie, wie wir eine KI-gestützte Rekrutierungs-App entwickelt haben, die von einem US-Personalvermittler übernommen wurde

Bitte geben Sie Ihre Geschäfts-E-Mail-Adresse ein ist keine Geschäfts-E-Mail
Erstellt von
Dmitry Yerygin
Entwicklungs-Teamleiter bei Redwerk
linkedin
Mit Abschlüssen in Steuerungssystemen und Computertechnik ist Dmitry ein Experte in der Erstellung robuster Softwarearchitekturen. Er bringt über 20 Jahre Technologieerfahrung mit und verbindet analytisches Geschick mit effektiver Kommunikation. Mehr vom Autor