Die OpenClaw-Skill-Plattform wirft Sicherheitsbedenken auf, da die Verbreitung von KI-Agenten zunimmt

Aktuelle Forschungsergebnisse zeigen, dass das Skill-Scanning-System von OpenClaw keine sichere Barriere darstellt. Das Veröffentlichen von Fähigkeiten Dritter bleibt ein Problem für die Erstellung und Nutzung von KI-Agenten. 

OpenClaw-Skills bergen weiterhin Sicherheitsrisiken, und das kürzlich eingeführte Skill-Scanning-System bietet laut aktuellen Sicherheitsexperten keine absolute Sicherheit. Skill-Scanning wurde als Einfallstor für Skill-Anbieter vorgeschlagen, um potenziell schädliche Daten oder schädliche Elemente des Skills selbst abzufangen. 

Wie Cryptopolitan berichtete, stellen Drittanbieterdienste bereits Sicherheitsrisiken dar, und die zunehmende Verbreitung von KI-Agenten beschleunigt und verschärft das Problem. 

OpenClaw ermöglicht es Nutzern, Agenten zu erstellen und diese lokal oder auf einem Server auszuführen. Allerdings Skills, die direkt mit OpenClaw verknüpft sind, dieselben Zugriffsrechte auf Ressourcen und Tools erhalten. Da einige Skills sensible Aufgaben wie den Zugriff auf Wallets oder On-Chain-Interaktionen umfassen, stellen die von Drittanbietern bereitgestellten Skillsets weiterhin ein Risiko dar. 

Wie überprüft OpenClaw Fähigkeiten auf böswillige Absicht? 

Jüngste Untersuchungen haben gezeigt, dass Clawhub VirusTotal sowie das interne Moderationssystem von OpenClaw nutzt. Die Ergebnisse dieser Prüfungen klassifizieren die Fähigkeiten und richten während der Installation Benutzerwarnungen ein. 

Dieses System ist noch nicht perfekt und kann harmlose oder sogar potenziell schädliche Fähigkeiten als solche einstufen. Ein Problem entsteht, wenn VirusTotal eine Fähigkeit als verdächtig und OpenClaw als unbedenklich kennzeichnet. Dem Nutzer wird eine Warnung angezeigt, er kann die Installation der Fähigkeit aber dennoch bestätigen. Fähigkeiten, die eindeutig als schädlich eingestuft sind, dürfen nicht heruntergeladen werden. 

OpenClaw bietet zwar auch Sandboxing und Laufzeitsteuerung, diese sind jedoch optional und stellen keine strikte Standardgrenze für Drittanbieterfunktionen dar. Auch Docker-basiertes Sandboxing ist optional, und einige Tools bleiben auch bei deaktiviertem Sandboxing verfügbar. 

Nutzer wählen den direkten Weg auch deshalb, weil Sandbox-Umgebungen schwierig bereitzustellen sind und manche Fähigkeiten nicht funktionieren. Das bedeutet auch, dass die Plattform auf Überprüfungen und Warnungen angewiesen ist – ein System, das beim Ausführen von Agentenfähigkeiten keinen direkten Schutz bietet. 

Kann OpenClaw bösartige Fähigkeiten erkennen? 

OpenClaw hat bereits einige Sicherheitsmaßnahmen implementiert, darunter Prüfungen auf Verhaltensweisen, die speziell darauf abzielen, Code abzufangen, der Geheimnisse auslesen und versenden kann. Dieser Ansatz wird in der traditionellen Sicherheit verwendet, um verdächtige Prozesse, Anfragen und andere Verhaltensweisen zu erkennen. 

Die Fähigkeiten von KI-Agenten sind schwieriger zu analysieren, da die Eingaben sowohl Code als auch natürlichsprachliche Anweisungen sowie das Verhalten zur Laufzeit umfassen. Traditionelle Sicherheitsvorkehrungen weisen möglicherweise blinde Flecken für das Verhalten von Agenten auf.

Im nächsten Schritt werden KI-gestützte Scans eingesetzt, um riskantere Verhaltensweisen aufzudecken, die weder durch statische Suche noch durch herkömmliche reguläre Ausdrücke erkannt wurden. KI-Agenten können Einblicke in die interne Konsistenz von Fähigkeiten geben, ohne jedoch alle potenziellen Sicherheitslücken vollständig zu erfassen. Sie suchen nach offensichtlich ausnutzbarem Code oder allgemeinen Inkonsistenzen. 

Forscher stellten fest, dass das OpenClaw-Prüf- und Moderationssystem Skills schnell freigab, während VirusTotal mitunter Tage benötigte, um die Hinzufügung zu melden. Es war außerdem möglich, bereits freigegebenen Skills Exploits hinzuzufügen. Dies bedeutete, dass OpenClaw Skills als harmlos einstufen konnte, obwohl diese unerwartete Verhaltensweisen aufwiesen. 

Forscher empfehlen Entwicklern von KI-Agenten, ihre Fähigkeiten in einer Sandbox auszuführen oder Tools einzusetzen, um deren Ausführung zu verhindern, selbst wenn diese als harmlos eingestuft sind. Sie appellieren an Plattformen, davon auszugehen, dass scheinbar harmlose Fähigkeiten Sicherheitslücken verbergen können, und deren Einsatz in sensiblen Umgebungen zu vermeiden, da dies potenziell Zugriff auf Krypto-Wallets oder andere sensible Daten ermöglichen könnte.