Der Sicherheitsexperte Johann Rehberger warnt vor dem KI-Projekt „OpenClaw“, das erst Ende letzten Jahres gestartet wurde und schon nach wenigen Wochen mutmaßlich millionenfach genutzt wird. „OpenClaw gilt als riskant, weil es ein sehr offenes und mächtiges System ist, das mit vielen anderen Systemen integriert werden kann“, sagte Rehberger der dts Nachrichtenagentur.
Die Open-Source-Software ist ein sogenannter KI-Agent, also ein Computerprogramm, das unter anderem über Messaging-Plattformen wie WhatsApp, Telegram oder Signal Aufträge annehmen und ausführen kann und so automatisierte Arbeitsabläufe über mehrere Dienste hinweg ermöglicht. Es benötigt umfassenden Zugriff auf einen Computer und wird auch autonom tätig – also ohne direkte Benutzereingabe desjenigen, der es installiert hat.
Der Sicherheitsexperte sieht da zwei Probleme: Zum einen gebe es klassische Sicherheitslücken, die es Angreifern erlauben, das System zu übernehmen. „Als Benutzer muss man daher stets auf dem aktuellen Stand bleiben und Systeme regelmäßig patchen, vor allem wenn Sicherheitsupdates erscheinen“.
Zum anderen gebe es das Problem der „Prompt Injection“, bei dem externe Inhalte den Assistenten zu schädlichem Verhalten verleiten können. „Dieses Problem hat derzeit keine echte Lösung“, so Rehberger. So könnte der Assistent beim Lesen einer E-Mail dazu gebracht werden, andere Daten vom Computer auszulesen und an einen Angreifer zu senden oder Daten zu löschen.
Wer mit dem System experimentieren möchte, sollte dies daher am besten in einer isolierten Umgebung tun und sich genau überlegen, welche Daten man mit dem Assistenten teilt. „Ich würde davon abraten, den Assistenten direkt auf dem eigenen Computer mit vollem Zugriff auf alle Daten zu betreiben, und stattdessen eine separate Umgebung ausschließlich für den Assistenten zu verwenden und dort gezielt Daten mit dem Assistenten zu teilen“, rät der Experte.
In Bezug auf das mit „OpenClaw“ gestartete „Moltbook“ – eine Plattform, auf der sich angeblich KI-Agenten untereinander austauschen und Menschen nur dabei zuschauen dürfen, ist Rehberger skeptisch. „Natürlich ist das System stark von Scammern infiltriert, die vor allem mit politischen Nachrichten und Krypto-Botschaften andere Teilnehmer beeinflussen wollen“. Es würden sich dort viele normale Benutzer und typische Scambots herumtreiben, die sich einfach als KI ausgeben. „Technisch kann der Betreiber ja nicht zwischen normalen Benutzer, Bot oder KI unterscheiden“, so der Experte.
Das System wurde weitgehend mit „Vibe Coding“ erstellt, also ebenfalls durch KI-Eingaben, wodurch Sicherheitslücken praktisch vorprogrammiert seien. „Und das hat man ja auch bereits gesehen, es war möglich, einfachen Zugriff auf die komplette Datenbank mit allen registrierten Nutzern und Agenten sowie deren Zugriffstokens zu erhalten“, sagte Rehberger der dts Nachrichtenagentur. Er selbst habe letzte Woche versucht, den Entwickler auf Schwachstellen hinzuweisen, habe aber keine Antwort erhalten. „In vielerlei Hinsicht erinnert mich das an die frühen Tage des Wilden Westens des Internets. Vorsicht ist also geboten.“