In den letzten Jahren hat sich der Begriff „KI-Agent“ von einer bloßen Marketingfloskel zu einem echten Workflow entwickelt: ein Assistent, der Ihre Dateien lesen, Ihren Browser öffnen, Befehle ausführen und Aktionen über verschiedene Dienste hinweg verknüpfen kann. Das ist das Versprechen.
Das Problem ist, dassStrom hat einen VerteilungskanalUnd dieser Kanal wird zunehmend alsFähigkeitEin kleines, leicht teilbares „Anleitungspaket“, das Agenten (und oft auch Nutzern) beibringt, wie eine Aufgabe erledigt wird. Es ist der App-Store-Moment für Agenten – nur dass die „Apps“ häufig …PreisreduzierungsanweisungenDie
Die Berichte dieser Woche über bösartige OpenClaw-Skills sind ein frühes und sehr deutliches Warnsignal dafür, dass sich die Geschichte der Open-Source-Lieferkette wiederholen könnte – allerdings mit einer Besonderheit: Anstatt eine kompilierte Abhängigkeit zu manipulieren, können Angreifer …Dokumentationund nutzen Sie die Nützlichkeit des Mittels als Schmiermittel.
Nachfolgend finden Sie eine praktische Erklärung, was passiert ist, warum es so gut funktioniert und was Sie dagegen tun können.
Was OpenClaw-Fähigkeiten sind (und warum sie wichtig sind)
OpenClaw popularisierte ein einfaches Erweiterungsmodell: Man fügt eine „Fähigkeit“ hinzu, die erklärt, wie man eine eng definierte Aufgabe erledigt – Beiträge in sozialen Medien veröffentlichen, Ordner aufräumen, einen Bericht zusammenfassen, einen Workflow automatisieren – und der Agent erhält eine neue Fähigkeit.
Im umfassenderen Ökosystem der „Agentenfähigkeiten“ ist eine Fähigkeit typischerweise ein Ordner, der um eineSKILL.mdDatei. Diese Datei enthält:
- Metadaten(Name / Beschreibung)
- Anweisungen(die konkreten Schritte)
- Optional:Skripteund andere gebündelte Vermögenswerte
Das klingt harmlos, weil es wie eine Dokumentation aussieht. Aber genau Dokumentationen sind es, denen die Leute schnell folgen, besonders wenn sie wie eine Liste von Voraussetzungen oder eine Installationsanleitung aussehen.
Fähigkeiten unterliegen zudem einer „Alles-oder-Nichts“-Dynamik: Nutzer orientieren sich an dem, was beliebt, neu und zeitsparend erscheint. Daher ist ein öffentlicher Marktplatz für Fähigkeiten ein attraktives Ziel: Konzentriert man sich auf einige wenige Top-Downloads, erreicht man eine konzentrierte Gruppe von Power-Usern – Entwickler, Systemadministratoren und alle, die wertvolle Qualifikationen auf ihren Rechnern haben.
Der Kerntrick: Markdown ist kein „Inhalt“ mehr – es ist ein Installationsprogramm.
Traditionelle Angriffe auf die Software-Lieferkette erfordern oft technische Investitionen: Verwirrung durch Abhängigkeiten, Typosquatting, bösartige Post-Install-Skripte, die Kontrolle über einen Paketnamen behalten und Scannern ausweichen.
Ein Marktplatz für Kompetenzen senkt die Anforderungen.
Eine bösartige Fähigkeit kann etwas so Einfaches wie Folgendes tun:
- Präsentieren Sie ein plausibles Werkzeug („Twitter-Skill“, „Krypto-Tracker“, „Automatisierungshelfer“).
- Fügen Sie einen Abschnitt „Voraussetzungen“ mit einer „erforderlichen Abhängigkeit“ hinzu.
- Bieten Sie einen praktischen Link und einen Einzeiler-Befehl an.
- Verlassen Sie sich darauf, dass der Mensch (oder der Beauftragte) es ausführt.
Das ist keine neue Idee im Bereich Social Engineering – sie wird schon seit Jahren angewendet –, aber Agenten-WorkflowsverstärkenEs:
- Agenten fassen die Dokumentation selbstbewusst zusammen („Führen Sie einfach dies aus, um die Abhängigkeit zu installieren“).
- Agenten reduzieren Reibungsverluste, indem sie den Befehl für Sie generieren.
- In manchen Konfigurationen können Agenten selbst Shell-Befehle ausführen.
An diesem Punkt wird „Dokumentation“ zu einem Remote-Ausführungspfad.
Was den Berichten zufolge im OpenClaw-Ökosystem geschah
In mehreren Berichten wird eine Kampagne beschrieben, bei der Angreifer eine große Anzahl bösartiger Fähigkeiten auf den ClawHub-Marktplatz hochluden und mithilfe von „Setup-Schritten“ Malware zum Informationsdiebstahl einsetzten.
Laut Jason Meller von 1Password enthielt eine der am häufigsten heruntergeladenen Funktionen Anweisungen, die die Benutzer in eine gestaffelte Auslieferungskette leiteten: einen Link zu einer „Abhängigkeit“, einen verschleierten Befehl und dann eine Nutzlast, die schließlich einen Infostealer installierte, der darauf ausgelegt war, den Rechner nach wertvollen Geheimnissen zu durchsuchen.
CyberInsider beschreibt unter Berufung auf Forschungsergebnisse von Koi Security ein ähnliches Muster in großem Umfang: Trojanisierte Fähigkeiten mit „Voraussetzungen“, die Benutzer anweisen, verschleierte Shell-Skripte auszuführen oder passwortgeschützte Archive herunterzuladen, was in Payloads wie Atomic macOS Stealer (AMOS) gipfelt – einer Malware-Familie, die mit dem Diebstahl von Anmeldeinformationen und dem Angriff auf Wallets in Verbindung gebracht wird.
Ob die genauen Zahlen in den Berichten voneinander abweichen,Formist konsistent:
- Als Vertriebsfähigkeiten eingesetzt
- „Voraussetzungsanweisungen“ werden als Überzeugungsmittel eingesetzt
- Infostealer werden als Endziel verwendet
Dieses Endziel ist entscheidend: Moderne Infostealer sind nicht hinter einem einzigen Passwort her – sie wollenSitzungstoken,Browserprofile,SSH-Schlüssel,Cloud-Zugangsdaten, UndKrypto-WalletsMit anderen Worten: die Dinge, die aus einem kompromittierten Laptop eine umfassendere Kompromittierung machen.
Warum Agenten das Ganze noch schlimmer machen als einen normalen betrügerischen Download-Link
Wenn Sie jemals gedacht haben: „Darauf würde ich nicht hereinfallen“, dann haben Sie wahrscheinlich recht, wenn Sie ruhig und skeptisch sind.
Agenten-Workflows verändern jedoch den Kontext:
- Geschwindigkeit wird zur Standardeinstellung.Sie beauftragen einen Makler, weil Sie schnell umziehen möchten.
- Die kognitive Belastung wird ausgelagert.Der Agent verwandelt eine unübersichtliche Anleitungsseite in eine übersichtliche Checkliste.
- Die Autorität ist entlehnt.Wenn der Agent sagt: „Dies ist die Standardabhängigkeit“, fühlt es sich geprüft an.
Anders ausgedrückt: Der Agent muss nicht im technischen Sinne „ausgetrickst“ werden. Es genügt, wenn er anwesend ist, während Sie zu einer riskanten Handlung verleitet werden. Das reicht aus, um das Verhalten zu beeinflussen.
Und wenn duTunWenn man dem Agenten erlaubt, Befehle direkt auszuführen, kann eine bösartige Fähigkeit zu einer „freihändigen Kompromittierung“ werden.
„Aber was ist mit MCP? Sollte das nicht die Werkzeuge sicherer machen?“
Das Model Context Protocol (MCP) ist ein echter Fortschritt für die Strukturierung des Werkzeugzugriffs. Es standardisiert die Art und Weise, wie Hosts Werkzeuge, Ressourcen und Eingabeaufforderungen bereitstellen, und betont die Zustimmung und Kontrolle der Benutzer.
MCP macht „Fähigkeiten“ jedoch nicht auf magische Weise sicher.
Warum?
- Skills können Benutzer anweisen, Befehle außerhalb der MCP-Grenze auszuführen.
- Skills können auf Skripte oder Downloads verweisen, die MCP nie berühren.
- Nicht jede Fertigkeit nutzt MCP überhaupt.
MCP kann helfen, wenn der Host strenge Berechtigungen, eindeutige Zustimmungsabfragen, Protokollierung und sichere Standardeinstellungen implementiert. Ein Markdown-basierter Verteilungsmechanismus kann dies jedoch durch einfaches Social Engineering umgehen.
Dies ist die Agentenversion der Lieferkettensicherheit (und wir hatten das schon einmal).
Die Softwarewelt musste auf die harte Tour lernen, dass:
- Beliebte Register werden missbraucht.
- Typosquatting funktioniert.
- „Installieren Sie dieses Hilfsprogramm“ ist ein häufiger Einstiegspunkt.
- Die wertvollsten Opfer sind diejenigen, die Dinge aufbauen.
Kompetenzmarktplätze kombinieren diese Erkenntnisse mit zwei neuen Beschleunigern:
- Das „Paket“ kann eine Anleitung sein., nicht Code – und Anweisungen sind schwerer zuverlässig zu scannen.
- Die Laufzeitumgebung ist reich an Anmeldeinformationen.Systembedingt: Browser sind überall angemeldet, Terminals verwenden SSH-Schlüssel, Cloud-CLIs, Passwortmanager und lokale Dateien.
In gewisser Weise ist ein Marktplatz für Fähigkeiten ein App-Store, in dem die Top-Apps sagen dürfen: „Kopieren Sie dies in das Terminal, um die Funktion zu aktivieren.“ Das ist kein Problem, das sich mit einem einzigen Kontrollkästchen lösen lässt.
Praktische Schutzmaßnahmen (für normale Benutzer)
Wenn Sie mit einem Agenten experimentieren, der über lokalen Zugriff verfügt, müssen Sie ihn wie einen neuen Betriebssystembenutzer mit Superkräften behandeln.
Hier die pragmatische Ausgangslage:
- Verwenden Sie einen dedizierten Rechner oder eine virtuelle Maschine.Für Agentenexperimente. Keine gespeicherten Unternehmens-Logins. Keine SSH-Produktionsschlüssel. Keine Cloud-Admin-Sitzungen.
- Bei einzeiligen Installationsprogrammen ist standardmäßig „Nein“ eingestellt.Insbesondere alles, was curl in sh umleitet, Base64 verwendet oder Sie auffordert, Betriebssystemschutzmechanismen zu entfernen.
- Vertrauen Sie nicht den Downloadzahlen.Popularität ist ein Wachstumstrick, kein Sicherheitsmodell.
- Wenn Sie bereits etwas ausgeführt haben, wechseln Sie zuerst die wichtigen Elemente.Browsersitzungen, SSH-Schlüssel, API-Token, Cloud-Schlüssel.
- Bevorzugt werden Fähigkeiten, deren Quellcode kontrolliert und überprüfbar ist.(Git-Repositories mit Historie, bekannten Maintainern und klarer Herkunft).
Was Marktplätze tun sollten (wenn sie überleben wollen)
Wer ein öffentliches Kompetenzregister betreibt, bietet eine Angriffsfläche.
Ein paar praktische Schritte, die die Kosten für Angreifer spürbar erhöhen:
- Reputation des Verlags und Herkunft(verifizierte Identitäten, Historie, Signierung).
- Automatisiertes Scannenauf verdächtige Muster (kodierte Nutzdaten, verschleierte Einzeiler, Entfernung aus der Quarantäne, passwortgeschützte Archive, „Kernabhängigkeit installieren“ mit externen Links).
- Warnung: Benutzeroberflächenreibungfür externe Links und Shell-Befehle.
- Schnelle Beseitigung und sichtbare Reaktion auf Vorfälle(Behandeln Sie es wie einen App-Store, nicht wie eine Pastebin-Plattform).
Keine dieser Maßnahmen ist perfekt, aber sie verschaffen Zeit – und Zeit ist genau das, was die Verteidiger brauchen.
Was Agentenentwickler künftig annehmen sollten
Wenn Sie die Agentenlaufzeitumgebung selbst entwickeln, gehen Sie davon aus, dass Fähigkeiten als Waffe eingesetzt werden.
Das bedeutet:
- Standardmäßig die Befehlsausführung verweigern(Zustimmung pro Befehl erforderlich, nicht einmalige, dauerhafte Schalter).
- Starkes Sandboxingfür den Zugriff auf das Dateisystem und den Browser.
- Eingeschränkte, zeitlich begrenzte Berechtigungenmit einfacher Widerrufbarkeit.
- Prüfbare Protokollewas der Agent gelesen und was er ausgeführt hat.
Das Endziel ist die gleiche Richtung, die die Cloud vor Jahren eingeschlagen hat: Identität, Richtlinien, minimale Berechtigungen und Prüfprotokolle – nur eben bis auf die Ebene der Arbeitsstationen heruntergebrochen.
Fazit
Die Geschichte um die OpenClaw-Fähigkeiten ist nicht einfach nur die Geschichte von „einigen Leuten, die Schadsoftware hochgeladen haben“. Sie ist eine Vorschau auf das nächste Schlachtfeld der Lieferkette:Fähigkeiten als Vertriebskanal, Markdown als Ausführungsweg und Agenten als Beschleuniger.
Wenn Agenten auf unseren privaten und beruflichen Rechnern präsent sein sollen, benötigt das Ökosystem eine Vertrauensebene, die Kompetenzmarktplätze wie App-Stores behandelt, Dokumentation wie Code und „hilfreiche Automatisierung“ als privilegierte Operation – und nicht als beiläufige Annehmlichkeit.
Quellen
- https://www.theverge.com/news/874011/openclaw-ai-skill-clawhub-extensions-security-nightmare
- https://1password.com/blog/from-magic-to-malware-how-openclaws-agent-skills-become-an-attack-surface
- https://cyberinsider.com/341-openclaw-skills-distribute-macos-malware-via-clickfix-instructions/
- https://agentskills.io/what-are-skills
- https://modelcontextprotocol.io/specification/2025-06-18