Wer mit OpenClaw arbeitet, sollte der Computer- und Datensicherheit zuliebe regelmäßig nach neuen Versionen Ausschau halten und sie umgehend installieren. Die Entwickler veröffentlichen pro Woche mehrere Versionen des KI-Agenten, die in der Regel auch Sicherheitsupdates enthalten – und das wird sich in absehbarer Zukunft nicht ändern.

Um sein volles Potenzial entfalten zu können, muss OpenClaw mit weitreichenden Systemrechten laufen. Dann kann er etwa über einen Messenger wie Signal instruiert E-Mails verschicken, Bilder erzeugen und sogar Software installieren. Das ist super praktisch, aber auch super gefährlich. Das Zusammenspiel verschiedener Anwendungen ergibt nämlich immer wieder neue Sicherheitsrisiken.

Volles Gefahrenspektrum

Zuletzt etwa im Zusammenspiel mit Telegram, wo einer Warnmeldung zufolge bestimmte Anfragen eine hohe Ressourcenauslastung auslösen können. Weil Anhänge im Kontext von iMessage nicht ausreichend geprüft werden, können Angreifer eigene Befehle ausführen.

Überdies stoßen Sicherheitsforscher immer wieder auf Schwachstellen im Code von OpenClaw. Darunter sind regelmäßig „kritische“ Lücken, teilweise sogar mit dem höchstmöglichen CVSS Score 10 von 10. In diesem Fall können Angreifer als Admins auf Instanzen zugreifen. In anderen Fällen können Angreifer sogar Schadcode ausführen. Danach gelten PCs in der Regel als vollständig kompromittiert.

Holzauge sei wachsam

Weil alle paar Tage neue Sicherheitsupdates erscheinen, können wir nicht alle melden, ohne zum reinen OpenClaw-Ticker zu verkommen. Wer den KI-Agenten also nutzt, sollte regelmäßig, wenn nicht sogar täglich, nach Aktualisierungen Ausschau halten.

Im Sicherheitsbereich der GitHub-Website des Projektes findet man neben Hinweisen zu geschlossenen Lücken auch Tipps zum Melden von Schwachstellen.

Jüngst hat Nvidia einen Open-Source-Stack veröffentlicht, der OpenClaw um zusätzliche Sicherheits- und Datenschutzfunktionen erweitert. Außerdem hat der KI-Agent seit Februar dieses Jahres VirusTotal an der Seite, um die Verbreitung von Malware-Skills einzudämmen.

(des)

Am 3. April wird eine Ausnahmeregel auslaufen, die Anbietern von Kommunikationsdiensten erlaubt, Nachrichten ihrer Nutzenden zu scannen. Sie sollen darin nach Missbrauchsdarstellungen von Kindern und Jugendlichen zu suchen, um diese an Behörden zu melden. Diese „Chatkontrolle 1.0“ genannte Regelung gibt es seit 2021, sie schafft eine Ausnahme von der europäischen ePrivacy-Richtlinie und wurde bereits ein Mal verlängert. Nun stand eine zweite Verlängerung an, doch die scheiterte: Das EU-Parlament und die Mitgliedstaaten konnten sich bei Verhandlungen am Montag nicht auf einen Kompromiss einigen.

Diesem Scheitern ging eine Parlamentsabstimmung am Freitag voraus. Dabei hatten die Abgeordneten zwar einer Verlängerung zugestimmt, aber gleichzeitig Einschränkungen beschlossen: Das Scannen solle nur zielgerichtet bei bestimmten Nutzenden stattfinden, wenn eine Verdacht bestehe. Außerdem solle die Verlängerung bis August 2027 gelten, ein halbes Jahr weniger als von der EU-Kommission ursprünglich vorgeschlagen. Bürgerrechtler:innen begrüßten dieses Ergebnis.

Doch die Mitgliedstaaten waren offenbar nicht bereit, auf die Einschränkungen des Parlaments einzugehen. Die SPD-Europaabgeordnete Birgit Sippel, die für das Gesetz zuständig ist, kritisierte die Verhandler:innen: „Sie nehmen in Kauf, dass es den Anbietern bald nicht mehr möglich sein wird, der Verbreitung von Material über sexuellen Kindesmissbrauch entgegenzuwirken.“

Druck auf Trilog wächst

Dem Parlament sei wichtig gewesen, dass „bereits identifiziertes oder gemeldetes Material über sexuellen Kindesmissbrauch auffindbar und für Strafverfolgung verwendbar“ ist. Sippel, die zugleich innenpolitische Sprecherin der Sozialdemokrat:innen im Parlament ist, sagt: „Unser Ziel bleibt: Kinder schützen, ohne die Privatsphäre von digitaler Kommunikation komplett aufzuheben.“

Hintergrund sind parallele Verhandlungen über eine dauerhafte Regelung dazu, wie Missbrauchsmaterial im Netz bekämpft werden kann – die „Chatkontrolle 2.0“. Dazu verhandeln derzeit Kommission, Mitgliedstaaten und Parlament im Trilog. Auch dort liegen die Positionen der EU-Organe nicht gerade nah beieinander: Die EU-Kommission sah in ihrem ursprünglichen Vorschlag weitreichendes Scannen auch verschlüsselter Kommunikation vor; die Mitgliedstaaten brauchten mehrere Jahre, um eine Einigung ohne Aufdeckungspflichten zu finden, und das Parlament beschloss bereits 2023 eine Position, die sowohl verpflichtendes Scannen als auch verschlüsselte Kommunikation ausschließt.

Der Trilog-Prozess ist sehr intransparent, es soll jedoch erste Einigungen zu strittigen Punkten gegeben haben. Doch wie lange der Trilog dauert und ob der durch die gescheiterte Verlängerung der freiwilligen Chatkontrolle gestiegene Druck den Prozess beschleunigt, ist noch nicht abzusehen.

Aufzüge in Wohn- und Geschäftsgebäuden werden zunehmend digital gesteuert – und sind damit potenzielle Angriffsziele für Cyberkriminelle. Doch zu wenige Anlagen sind ausreichend dagegen geschützt, wie der Tüv-Verband in seinem aktuellen Anlagensicherheitsreport mitteilt. Demnach wiesen knapp zwei Drittel der untersuchten Aufzüge im vergangenen Jahr geringfügige Mängel auf. Das waren mehr als 4 Prozentpunkte mehr als im Vorjahr und sogar fast 22 Prozentpunkte mehr als 2023.

Ein wesentlicher Grund für diesen Anstieg seien Defizite bei der Cybersicherheit, betont der Tüv. „Die Betreiber sind seit mehreren Jahren dazu verpflichtet, entsprechende Schutzmaßnahmen umzusetzen und diese zu dokumentieren“, hieß es. Fehle der Nachweis, führe das zu einem geringfügigen Mangel. „Hersteller und vor allem Betreiber sollten die Cybersicherheit ernst nehmen und ihren Pflichten nachkommen.“

„Immer wieder kommt es zu schweren Unfällen“

Insgesamt wurden im vergangenen Jahr knapp 723.300 Aufzugsanlagen überprüft. Mehr als jeder zehnte Aufzug wies dabei sogenannte erhebliche Mängel auf. Bei 0,8 Prozent beziehungsweise 5.800 Anlagen wies der Tüv gar gefährliche Mängel auf. 3.000 dieser Aufzüge wurden unverzüglich stillgelegt, weil sie eine Gefahr für Leib und Leben darstellten.

Grund dafür waren unter anderem verschlissene Tragseile. „Immer wieder kommt es zu schweren Unfällen“, teilte der Tüv weiter mit. „Deren Zahl kann mit dem bewährten Zusammenspiel von regelmäßiger Wartung durch den Betreiber, unabhängiger Prüfung und behördlicher Überwachung auf einem Minimum gehalten werden.“

(mho)