OpenClaw: Was Bitdefender dokumentiert hat und was das für dein Business bedeutet

Ein Tool. 100.000 Sterne. Eine Hintertür.

OpenClaw, bekannt unter den Namen Clawdbot und Moltbot, erreichte innerhalb weniger Wochen 100.000 GitHub-Sterne. Das Tool verspricht vollständige Automatisierung: E-Mails beantworten, Kalender verwalten, Aufgaben erledigen.

Auf LinkedIn sah es so aus: Geschäftskollegen berichteten euphorisch. IBM, Silicon Valley, chinesische Tech-Giganten; die Namen flossen durch die Posts. Wer zweifelte, gilt schnell als Technologieverweigerer.

Bevor wir zu OpenClaw kommen: Das BSI unterscheidet drei Wege, wie KI heute für Angriffe genutzt wird.

Erstens: KI als Recherche- und Täuschungswerkzeug. Angreifer nutzen KI, um Informationen über Unternehmen und deren Mitarbeitende schneller auszuwerten. Phishing-Mails werden überzeugender, weil KI sprachliche Fehler eliminiert und Texte personalisiert. Bekannt ist ein Fall aus Februar 2024: Staatliche Akteure nutzten ChatGPT zur Auswertung gestohlener Daten und zur Vorbereitung gezielter Angriffe.

Zweitens: Angriffe auf Cloud-KI-Systeme selbst. Unternehmen, die interne (Cloud-basierte) Chatbots oder KI-Tools einsetzen, werden zur Zielscheibe. Sogenannte „Prompt-Jailbreaks“ versuchen, dem System internes Wissen zu entlocken. Daneben gibt es „Poisoning-Angriffe" auf Trainingsdaten. Dieser Angriffstyp ist noch theoretischer Natur.

Drittens: Trojanisierte KI-Tools. Wer ein kostenloses KI-Tool aus unsicherer Quelle herunterlädt, riskiert Schadsoftware. Diese zielt bisher vor allem auf Privatnutzer, zunehmend jedoch auch auf Unternehmen. Ein dokumentierter Fall: Ein Angreifer nutzte ChatGPT als Hilfe bei der Entwicklung von Schadcode für einen „Information Stealer" – Software, die Zugangsdaten stiehlt.

Bitdefender hat dokumentiert, was im Hintergrund passiert.

Mitarbeitende installieren OpenClaw mit einem einzigen Befehl direkt auf Firmenrechnern und erteilen dabei vollen Terminal- und Festplattenzugriff. Die IT-Abteilung weiss oft nichts davon. Der Begriff dafür: Shadow AI.

Was Bitdefender konkret gefunden hat

Das Szenario, das Bitdefender im LinkedIn-Webinar Ctrl-Alt-DECODE, Episode 6 öffentlich dokumentierte, ist kein Gedankenexperiment.

Der Nutzer installiert OpenClaw. Er sucht im Erweiterungsverzeichnis nach Zusatzfunktionen. Klickt auf eine, die gut klingt. Sieht eine professionell aussehende Warnmeldung. Klickt „Weiter". Ein Befehl landet in der Zwischenablage. Er fügt ihn ins Terminal ein, weil die Anleitung genau das beschreibt.

Im Hintergrund öffnet sich eine Hintertür. Sie richtet sich dauerhaft ein. Sie sendet Passwörter, Browserdaten und API-Schlüssel nach aussen. Der Angreifer hat ab diesem Moment dauerhaften Zugriff; auf einen Rechner mit Kundendaten, Geschäftszahlen, Zugängen.

Kein Leichtsinn im klassischen Sinne. Der Nutzer hat getan, was das Tool nach der Installation angezeigt hat.

Drei Einschätzungen dazu, die nicht aus Marketingmaterial stammen: Der Entwickler selbst beschrieb OpenClaw wiederholt als junges Hobbyprojekt, das für die meisten Nicht-Techniker nicht geeignet ist. KI-Forscher Gary Marcus warnte öffentlich davor. Fortune nannte das gesamte Ökosystem einen potenziellen Datenschutz- und Sicherheitsalbtraum.

Die 100.000 GitHub-Sterne messen Interesse. Keine Qualität. Keine Sicherheit.

Was du tun kannst

Kein Tool installieren, das du nicht verstehst. Viral bedeutet nicht sicher. Wer OpenClaw oder ähnliche Agenten-Tools auf Rechnern mit Kundendaten, Passwörtern oder Geschäftszahlen installiert, gibt Zugriff auf diese Daten.

Erweiterungen und Plugins gleich behandeln. Der eigentliche Angriff passierte nicht bei der Installation des Haupttools. Er passierte beim Klick auf eine Erweiterung. Jede Zusatzfunktion ist eine neue Angriffsfläche.

LinkedIn-Posts mit einer Frage begegnen. Wer profitiert davon, dass ich das installiere? Sozialer Druck ist ein Geschäftsmodell. FOMO ist eine Angriffsfläche.

Lokale Kontrolle zurückgewinnen. Wer sensibles Material auswertet, sollte wissen, dass es Alternativen gibt, bei denen kein Byte den eigenen Rechner verlässt; wie im ersten Teil dieser Serie "Open Notebook" beschrieben.

Manuela Frenzel ist unabhängige Publizistin für KI-Einordnung sowie lokale KI

Quellen:

Deutschland: Bundesamt für Sicherheit in der Informationstechnik (BSI), Lagebericht KI und Cyberbedrohungen 2024.

Bitdefender, Cybersecurity Predictions 2025: Hype vs. Reality.

Bitdefender Labs, Technical Advisory OpenClaw.

Bitdefender LinkedIn-Webinar Ctrl-Alt-DECODE, Episode 6.

CNBC, Gary Marcus Substack, Vectra AI, Fortune.

Schweiz: Das Bundesamt für Cybersicherheit (BACS) verzeichnete 2024 rund 63.000 gemeldete Cybervorfälle, fast eine Verdoppelung gegenüber 2023.