Stetig patchen: KI-Agent OpenClaw erhält wöchentlich mehrmals Sicherheitsupdates

Wer mit OpenClaw arbeitet, sollte der Computer- und Datensicherheit zuliebe regelmäßig nach neuen Versionen Ausschau halten und sie umgehend installieren. Die Entwickler veröffentlichen pro Woche mehrere Versionen des KI-Agenten, die in der Regel auch Sicherheitsupdates enthalten – und das wird sich in absehbarer Zukunft nicht ändern.

Um sein volles Potenzial entfalten zu können, muss OpenClaw mit weitreichenden Systemrechten laufen. Dann kann er etwa über einen Messenger wie Signal instruiert E-Mails verschicken, Bilder erzeugen und sogar Software installieren. Das ist super praktisch, aber auch super gefährlich. Das Zusammenspiel verschiedener Anwendungen ergibt nämlich immer wieder neue Sicherheitsrisiken.

Volles Gefahrenspektrum

Zuletzt etwa im Zusammenspiel mit Telegram, wo einer Warnmeldung zufolge bestimmte Anfragen eine hohe Ressourcenauslastung auslösen können. Weil Anhänge im Kontext von iMessage nicht ausreichend geprüft werden, können Angreifer eigene Befehle ausführen.

Überdies stoßen Sicherheitsforscher immer wieder auf Schwachstellen im Code von OpenClaw. Darunter sind regelmäßig „kritische“ Lücken, teilweise sogar mit dem höchstmöglichen CVSS Score 10 von 10. In diesem Fall können Angreifer als Admins auf Instanzen zugreifen. In anderen Fällen können Angreifer sogar Schadcode ausführen. Danach gelten PCs in der Regel als vollständig kompromittiert.

Holzauge sei wachsam

Weil alle paar Tage neue Sicherheitsupdates erscheinen, können wir nicht alle melden, ohne zum reinen OpenClaw-Ticker zu verkommen. Wer den KI-Agenten also nutzt, sollte regelmäßig, wenn nicht sogar täglich, nach Aktualisierungen Ausschau halten.

Im Sicherheitsbereich der GitHub-Website des Projektes findet man neben Hinweisen zu geschlossenen Lücken auch Tipps zum Melden von Schwachstellen.

Jüngst hat Nvidia einen Open-Source-Stack veröffentlicht, der OpenClaw um zusätzliche Sicherheits- und Datenschutzfunktionen erweitert. Außerdem hat der KI-Agent seit Februar dieses Jahres VirusTotal an der Seite, um die Verbreitung von Malware-Skills einzudämmen.

(des)