Die schnelle Einführung von KI-Assistenten wie OpenClaw übertrifft die Sicherheitsmaßnahmen und macht Unternehmen anfällig für Sicherheitsverletzungen. Anfang 2026 laufen über 500.000 Instanzen von OpenClaw ohne zentrale Steuerung oder Notabschaltmechanismus. Dieser Mangel an Kontrolle hat bereits zu einem bestätigten Fall geführt, in dem die OpenClaw-Instanz eines CEOs auf BreachForums verkauft wurde, komplett mit sensiblen Daten, Anmeldeinformationen und Echtzeitzugriff.
Das Kernproblem ist die Autonomie: KI-Agenten erhalten Berechtigungen, die weit über die Berechtigungen menschlicher Mitarbeiter hinausgehen, und ignorieren dabei die Zero-Trust-Prinzipien. OpenClaw läuft lokal mit vollem Zugriff auf Dateien, Netzwerke und Anwendungen und speichert Daten im unverschlüsselten Klartextformat. Dies macht es Angreifern leicht, wertvolle Informationen zu extrahieren, darunter SSO-Sitzungen, API-Schlüssel und persönliche Finanzdaten.
Das Ausmaß des Problems:
– Die Zahl der Fälle ist in nur wenigen Monaten von 6.300 auf fast 500.000 gestiegen.
– Drei kritische Schwachstellen (CVE-2026-24763, CVE-2026-25157, CVE-2026-25253) bleiben auf den meisten Systemen aufgrund der fehlenden zentralen Verwaltung ungepatcht.
– CrowdStrike erkennt über 160 Millionen einzigartige KI-Instanzen in seinem Kundenstamm, wobei bösartige „Fähigkeiten“ wie ClawHavoc zu einem großen Risiko in der Lieferkette werden.
Das Versäumnis, zu beobachten, sich zu orientieren, zu entscheiden und zu handeln (die OODA-Schleife), ist von entscheidender Bedeutung. Die meisten Unternehmen können nicht einmal erkennen, welche KI-Tools in ihren Netzwerken ausgeführt werden, sodass sich Schatten-KI unkontrolliert ausbreiten kann. Die BreachForums-Auflistung zeigt das Ergebnis: ein zentraler Informationsknotenpunkt für Angreifer, auf den über den Assistenten eines kompromittierten CEO zugegriffen werden kann.
Antworten der Anbieter und das Bedürfnis nach Kontrolle:
Cisco, Palo Alto Networks und Cato Networks haben mit der Veröffentlichung von Tools zur Behebung des Problems begonnen. Cisco hat DefenseClaw auf den Markt gebracht, ein Open-Source-Framework für Sicherheitsscans innerhalb der OpenShell-Laufzeitumgebung von NVIDIA. Palo Alto Networks führte Prisma AIRS 3.0 mit Agentenregistrierung und Laufzeitüberwachung ein. Cato CTRL bietet über seinen Threat-Intelligence-Bereich eine gegnerische Validierung. Das Kernproblem bleibt jedoch bestehen: kein flottenweiter Kill-Switch.
Sofortige Maßnahmen:
- Erkennen: Verwenden Sie Endpunkterkennungstools (CrowdStrike, Cato, Cisco) oder manuelle Dateisuchen (
~/.openclaw/), um alle Instanzen zu identifizieren. - Patchen/Isolieren: CVEs adressieren oder nicht patchbare Systeme isolieren.
- Fähigkeiten prüfen: Entfernen Sie alle Fertigkeiten aus nicht verifizierten Quellen.
- DLP/ZTNA erzwingen: Beschränken Sie nicht autorisierte KI-Anwendungen mit Datenverlustprävention und Zero-Trust-Netzwerkzugriffskontrollen.
- Geisteragenten töten: Führen Sie ein Register aller KI-Agenten, rechtfertigen Sie deren Einsatz und entziehen Sie denjenigen die Anmeldeinformationen, die keinen legitimen Geschäftszweck verfolgen.
Die aktuelle Situation ist unhaltbar. Unternehmen müssen die Kontrolle über den Einsatz von KI-Agenten zurückgewinnen, bevor es zu weiteren Datenschutzverletzungen kommt.
Die Geschwindigkeit, mit der KI-Agenten eingeführt und eingesetzt werden, stellt an sich schon eine Bedrohung dar, aber das Versäumnis, grundlegende Sicherheitskontrollen zu implementieren, bedeutet, dass die Risiken nur noch schlimmer werden.
