Damit Cyberkriminelle den Skill-Marketplace ClawHub des KI-Assistenten OpenClaw nicht mit Schadcode-verseuchten Erweiterungen überfluten, überwacht ab sofort Googles Online-Virenscanner VirusTotal die Plattform.

Gefundenes Fressen für Angreifer

Diese Partnerschaft hat der OpenClaw-Entwickler jüngst in einem Beitrag bekannt gegeben. OpenClaw ist ein besonders mächtiger KI-Assistent, der je nach Einstellung unter anderem über weitreichende Systemrechte verfügt, Anwendungen nutzt und sogar Software eigenständig installiert, um bestimmte Aufgaben zu erledigen.

Befehle nimmt er unter anderem über Chatclients wie Signal entgegen. Hat OpenClaw etwa Vollzugriff auf einen Passwortmanager, um bestimmte Aufgaben erledigen zu können, ist das für den Nutzer zwar praktisch, aber auch ein immenses Sicherheitsrisiko.

Das haben Cyberkriminelle längst auf dem Schirm und verbreiten auf dem offiziellen Skills-Marketplace ClawHub mit Malware verseuchte Erweiterungen. Dort kann man kostenlose Skills für bestimmte Aufgaben wie eine Analyse und Auswertung von aktuellen Bitcoin-Entwicklungen herunterladen. Doch manche Skills machen nicht das, was die Beschreibung verspricht, sondern lesen etwa heimlich Passwörter aus und schicken sie an Kriminelle. Wie Sicherheitsforscher von VirusTotal in einem Bericht angeben, sind sie bereits auf Hunderte solcher verseuchten Erweiterungen gestoßen.

Ein weiterer Security-Baustein

Um das Hochladen von Malware-Skills einzudämmen, schauen die Scanner von VirusTotal in Uploads, um Schadcode-Passagen zu entdecken. Verdächtige Skills werden gesperrt und sind nicht downloadbar. Bereits hochgeladene Skills sollen täglich erneut gescannt werden, um nachträglich hinzugefügte Malware zu entdecken.

Weil der primär signaturbasierte Ansatz „nur“ bereits bekannte Trojaner und Hintertüren findet, ist das natürlich kein Allheilmittel. Von Angreifern sorgfältig ausgearbeitete Payload-Prompts können durchrutschen. In der Summe ist die Partnerschaft aber sinnvoll und ein weiterer Baustein, den mächtigen KI-Assistenten sicherer zu machen.

(des)

Systeme mit IBM App Connect Operator und App Connect Enterprise Certified Containers Operands oder WebSphere Service Registry and Repository und WebSphere Service Registry and Repository Studio sind verwundbar und es können Attacken bevorstehen. Aktualisierte Versionen lösen verschiedene Sicherheitsprobleme.

IBM App Connect Enterprise

So können Angreifer etwa Instanzen mit bestimmten Uniform-Resource-Identifier-Anfragen (URI) attackieren und im Kontext von Node.js eine extreme CPU-Last provozieren. Das führt dazu, dass Systeme nicht mehr reagieren (CVE-2026-0621 „hoch“). Weil IBM App Connect Enterprise Certified Container im Python-Modul azure-core nicht vertrauenswürdige Daten verarbeitet, können authentifizierte Angreifer über ein Netzwerk Schadcode ausführen (CVE-2026-21226 „hoch“).

Die verbleibenden Schwachstellen sind mit dem Bedrohungsgrad „mittel“ eingestuft. In diesen Fällen können Angreifer etwa Konfigurationen modifizieren (CVE-2025-13491).

Um Systeme vor möglichen Attacken zu schützen, müssen Admins App Connect Enterprise Certified Container Operator 12.20.0 installieren. Zusätzlich müssen sie sicherstellen, dass für DesignerAuthoring, IntegrationServer und IntegrationRuntime mindestens Version 13.0.6.1-r1 installiert ist.

IBM WebSphere

Die Lücke betrifft die Eclipse-OMR-Komponente (CVE-2026-1188 „mittel“). An dieser Stelle können Angreifer einen Speicherfehler auslösen, was in der Regel zu Abstürzen führt. Oft gelangt darüber aber auch Schadcode auf Systeme. Die Entwickler versichern, das Sicherheitsproblem in V8.5.6.3_IJ56659 gelöst zu haben.

Weiterführende Informationen zu den Schwachstellen führt IBM in mehreren Warnmeldungen auf:

(des)

Der Ärger über SMS, Chatnachrichten und Anrufe von Betrügern hat sich einer Statistik zufolge zwar abgeschwächt, er ist aber noch immer weit verbreitet. Wie die Bundesnetzagentur in Bonn mitteilte, gingen bei ihr im vergangenen Jahr 85.158 Beschwerden zu Rufnummernmissbrauch ein. 2024 waren es mit 154.624 kritischen Wortmeldungen fast doppelt so viele gewesen, was ein Rekord gewesen war. Einen Grund für den deutlichen Rückgang der Beschwerden nennt die Aufsichtsbehörde nicht.

Bei solchen Abzocke-Versuchen geht es großteils um SMS – etwa um ein Paket, für dessen Erhalt man noch eine angebliche Zollgebühr zahlen solle. Außerdem nehmen Betrüger über Chatnachrichten Kontakt mit ihren Opfern auf oder sie rufen an. Die 2024 noch stark verbreiteten Paket-Betrugsversuche haben im vergangenen Jahr abgenommen, so manch Krimineller steuerte offenbar um. Wegen des Rufnummernmissbrauchs schaltete die Netzagentur rund 6200 Rufnummern ab und damit ähnlich viele wie ein Jahr zuvor. Für gut 2000 Rufnummern wurden Verbote verhängt, Zahlungen für unrechtmäßige Kosten einzufordern.

Enkeltrick rückläufig

„Wir schützen Verbraucherinnen und Verbraucher wirksam vor Rufnummernmissbrauch“, sagt Bundesnetzagentur-Präsident Klaus Müller. „Für die Verfolgung von und den Kampf gegen Ärger mit Rufnummern sind wir auf die Hinweise der Bürgerinnen und Bürger angewiesen.“ Außerdem beschwerten sich im vergangenen Jahr viele Bürgerinnen und Bürger über automatische Bandansagen, teure Warteschleifen, Router-Hacking und Fake-Hotlines. Viele Banden arbeiten inzwischen arbeitsteilig mit „crime as a service“.

Der sogenannte Enkeltrick ist seit einigen Jahren den Angaben zufolge rückläufig. Hierbei nimmt ein Betrüger per SMS oder Chatnachricht Kontakt auf und gibt sich als ein Familienmitglied aus, das dringend Geld brauche. Manchmal werden auch nur persönliche Daten des Opfers eingefordert, die später für andere Abzocke-Arten genutzt werden.

Netzbetreiber haben Warnsysteme installiert

Möglicherweise liegt der deutliche Rückgang an Beschwerden über Rufnummernmissbrauch auch daran, dass Betrüger es inzwischen etwas schwerer haben als früher. So hat der Netzbetreiber Vodafone im vergangenen Mai einen sogenannten Spam-Warner gestartet: Wird man von einer Telefonnummer angerufen, die bei Vodafone auf einer Liste potenzieller Krimineller ist, so bekommt man vorab den Hinweis „Vorsicht: Betrug möglich“ auf dem Display. Der Angerufene kann den Anruf zwar trotzdem annehmen, ist dann aber gewissermaßen auf der Hut und lässt sich nicht so leicht abzocken. Die Deutsche Telekom hat inzwischen ein ähnliches Warnsystem gestartet.

Vodafone hat im vergangenen Jahr knapp 50 Millionen Betrugswarnungen auf die Smartphone-Displays der Nutzer des Vodafone-Netzes gesendet. Nach Erkenntnissen des Netzbetreibers gehen dank der Warnung viel weniger Menschen ans Telefon als ohne Warnung. „Viele Menschen werden umsichtiger, weil sie häufiger auf mögliche Gefahren im Netz hingewiesen werden“, sagt Vodafone-Deutschlandchef Marcel de Groot. „Neue Technologien schützen vor Betrugsmaschen, noch bevor sie Schaden anrichten können.“

(nie)