GitHubs am schnellsten wachsendes Repository in der Geschichte hat gerade über 135.000 gefährdete KI-Agenten in 82 Ländern entlarvt – und Krypto-Nutzer sind die Hauptziele. Willkommen in der OpenClaw-Sicherheitskrise, in der chinesische Tech-Giganten im Wettlauf um den Einsatz von KI-Gateways mit einem massiven Supply-Chain-Angriff kollidierten, der die Regeln für die Blockchain-Sicherheit neu schreibt.
Das virale Phänomen, das zum Sicherheitsalbtraum wurde
Ende Januar 2026 erreichte OpenClaw etwas Beispielloses: Es erhielt mehr als 20.000 GitHub-Sterne an einem einzigen Tag und wurde damit zum am schnellsten wachsenden Open-Source-Projekt aller Zeiten auf der Plattform. Bis März 2026 hatte der KI-Assistent über 250.000 Sterne gesammelt, während Tech-Enthusiasten weltweit herbeiströmten, um das zu installieren, was wie die Zukunft der persönlichen KI aussah.
Im Gegensatz zu cloudbasierten KI-Assistenten läuft OpenClaw vollständig auf Ihrem Computer mit vollem Zugriff auf Ihre Dateien, E-Mails und Anwendungen. Sie können ihm Nachrichten über WhatsApp, Telegram oder Discord senden, und er arbeitet rund um die Uhr – führt Shell-Befehle aus, surft im Internet, versendet E-Mails, verwaltet Kalender und führt Aktionen in Ihrem gesamten digitalen Leben aus – alles ausgelöst durch eine einfache Nachricht von Ihrem Telefon.
Das Versprechen war unwiderstehlich: Ihr eigener persönlicher KI-Agent, der lokal läuft, immer verfügbar und unendlich leistungsfähig ist. Die Realität erwies sich als weitaus gefährlicher.
135.000 exponierte Instanzen: Das Ausmaß der Sicherheitskatastrophe
Bis Februar 2026 entdeckten Sicherheitsforscher eine erschreckende Tatsache: Mehr als 135.000 OpenClaw-Instanzen waren im öffentlichen Internet in 82 Ländern exponiert, wobei über 50.000 anfällig für Remotecodeausführung (RCE) waren. Die Ursache? Eine grundlegende Sicherheitslücke in der Standardkonfiguration von OpenClaw.
OpenClaw bindet standardmäßig an 0.0.0.0:18789, was bedeutet, dass es auf allen Netzwerkschnittstellen einschließlich des öffentlichen Internets lauscht, anstatt auf 127.0.0.1 (nur Localhost), wie es bewährte Sicherheitspraktiken erfordern. Im übertragenen Sinne ist dies so, als ließe man die Haustür weit offen stehen mit einem Schild „Eintreten erwünscht“ – außer dass die Tür zu Ihrem gesamten digitalen Leben führt.
Die „ClawJacked“-Schwachstelle verschlimmerte die Situation zusätzlich. Angreifer konnten Ihren KI-Assistenten kapern, indem sie Sie einfach zum Besuch einer bösartigen Website verleiteten. Einmal kompromittiert, erhält der Angreifer die gleiche Zugriffsebene wie der KI-Agent selbst: Ihre Dateien, Zugangsdaten, Browserdaten und ja – Ihre Krypto-Wallets.
Sicherheitsfirmen versuchten unter Hochdruck, das Ausmaß zu begreifen. Kaspersky, Bitsight und Oasis Security gaben dringende Warnungen heraus. Der Konsens war klar: OpenClaw stellte einen „Sicherheitsalbtraum“ dar, der kritische Schwachstellen für Remotecodeausführung, architektonische Schwächen und – was am alarmierendsten war – eine groß angelegte Supply-Chain-Poisoning-Kampagne auf seinem Plugin-Marktplatz beinhaltete.
ClawHavoc: Der Supply-Chain-Angriff auf Krypto-Nutzer
Während sich Forscher auf die Kernschwachstellen von OpenClaw konzentrierten, entfaltete sich in ClawHub – dem Marktplatz, der es Benutzern erleichtern soll, „Skills“ (Plugins) von Drittanbietern für ihre KI-Agenten zu finden und zu installieren – eine weitaus tückischere Bedrohung.
Im Februar 2026 entdeckten Sicherheitsforscher unter dem Codenamen ClawHavoc, dass von 2.857 auf ClawHub geprüften Skills 341 bösartig waren. Bis Mitte Februar, als der Marktplatz auf über 10.700 Skills anwuchs, hatte sich die Zahl der bösartigen Skills auf 824 mehr als verdoppelt – und erreichte laut einigen Berichten sogar bis zu 1.184 bösartige Skills.
Der Angriffsmechanismus war verheerend clever:
- Vorgetäuschte Voraussetzungen: 335 Skills nutzten gefälschte Installationsanforderungen, um Benutzer zum Herunterladen der Malware Atomic macOS Stealer (AMOS) zu verleiten.
- Plattformspezifische Payloads: Unter Windows luden Benutzer „openclaw-agent.zip“ von kompromittierten GitHub-Repositories herunter; unter macOS wurden auf glot.io gehostete Installationsskripte direkt in das Terminal kopiert.
- Ausgeklügeltes Social Engineering: Dokumentationen überzeugten Benutzer davon, bösartige Befehle unter dem Deckmantel legitimer Einrichtungsschritte auszuführen.
- Einheitliche Infrastruktur: Alle bösartigen Skills teilten sich dieselbe Command-and-Control-Infrastruktur, was auf eine koordinierte Kampagne hindeutet.
Die Hauptziele? Krypto-Nutzer.
Die Malware war darauf ausgelegt, Folgendes zu stehlen:
- Exchange-API-Keys
- Private Keys von Wallets
- SSH-Zugangsdaten
- Browser-Passwörter
- Kryptospezifische Daten von Solana-Wallets und Wallet-Trackern
Von den bösartigen Skills waren 111 explizit auf Krypto fokussierte Tools, einschließlich Solana-Wallet-Integrationen und Kryptowährungs-Trackern. Die Angreifer verstanden, dass Krypto-Nutzer – gewohnt an die Installation von Browser-Erweiterungen und Wallet-Tools – die lukrativsten Ziele für einen Supply-Chain-Angriff auf KI-Agenten sein würden.
Das Bereitstellungsrennen der chinesischen Tech-Giganten
Während Sicherheitsforscher Warnungen aussprachen, sahen chinesische Tech-Giganten eine Chance. Anfang März 2026 starteten Tencent, Alibaba, ByteDance, JD.com und Baidu konkurrierende Kampagnen für die kostenlose Installation von OpenClaw und komprimierten damit ein wettbewerbliches Gerangel, das normalerweise Monate dauert, auf nur wenige Tage.
Die Strategie war klar: Kostenlose Bereitstellungen zur Kundenakquise nutzen und Benutzer binden, bevor kommerzielle KI-Projekte skalieren. Jeder Gigant rannte darum, der „erste Infrastrukturkontakt für die nächste Generation von KI-Entwicklern“ zu werden:
- Tencent startete QClaw und integrierte OpenClaw in WeChat, damit Benutzer ihre Laptops ferngesteuert über Befehle von ihrem Telefon aus bedienen können.
- Alibaba Cloud rollte die Unterstützung für OpenClaw auf seinen Plattformen aus und verband es mit seiner Qwen-KI-Modellserie.
- ByteDances Volcano Engine enthüllte ArkClaw, eine sofort einsatzbereite „Out-of-the-box“-Version von OpenClaw.
Die Ironie war unübersehbar: Während Sicherheitsforscher vor 135.000 exponierten Instanzen und massiven Supply-Chain-Angriffen warnten, trieben Chinas größte Technologieunternehmen aktiv die Masseninstallation bei Millionen von Benutzern voran. Die Kollision zwischen technologischem Enthusiasmus und der Realität der Cybersicherheit war noch nie so deutlich sichtbar.
Web3s KI-Agenten-Problem: Wenn MCP auf Krypto-Wallets trifft
Die OpenClaw-Krise hat ein tieferliegendes Problem offengelegt, das Web3-Entwickler nicht länger ignorieren können: KI-Agenten verwalten zunehmend On-Chain-Assets, und die Sicherheitsmodelle sind gefährlich unausgereift.
Das Model Context Protocol (MCP) – der aufstrebende Standard für die Verbindung von KI-Agenten mit externen Systemen – wird zum Tor, durch das KI mit Blockchains interagiert. MCP-Server fungieren als vereinheitlichte API-Gateways zum gesamten Web3-Stack und ermöglichen es KI-Agenten, Blockchain-Daten zu lesen, Transaktionen vorzubereiten und On-Chain-Aktionen auszuführen.
Derzeit erfordern die meisten Krypto-MCP-Server die Konfiguration mit einem privaten Schlüssel, was einen Single Point of Failure darstellt. Wenn ein KI-Agent kompromittiert wird – wie es bei Zehntausenden von OpenClaw-Instanzen der Fall war –, erhält der Angreifer direkten Zugriff auf die Gelder.
Zwei konkurrierende Sicherheitsmodelle zeichnen sich ab:
1. Delegiertes Signieren (benutzergesteuert)
KI-Agenten bereiten Transaktionen vor, aber der Benutzer behält die exklusive Kontrolle über die Signatur. Der private Schlüssel verlässt niemals das Gerät des Benutzers. Dies ist der sicherste Ansatz, schränkt jedoch die Autonomie des Agenten ein.
2. Agenten-gesteuerte Limits (Allowances)
Agenten verfügen über eigene Schlüssel und erhalten ein Limit (Allowance), um im Namen der Benutzer Ausgaben zu tätigen. Private Schlüssel werden vom Agenten-Host sicher verwaltet, und die Ausgaben sind gedeckelt. Dies ermöglicht einen autonomen Betrieb, erfordert jedoch Vertrauen in die Sicherheit des Hosts.
Keines der beiden Modelle ist bisher weit verbreitet. Die meisten Krypto-MCP-Implementierungen nutzen immer noch den gefährlichen Ansatz, „dem Agenten Ihren privaten Schlüssel zu geben“ – genau das Szenario, auf das die ClawHavoc-Angreifer gesetzt haben.
Schätzungen für 2026 zufolge werden 60 % der Krypto-Wallets agentenbasierte KI nutzen, um Portfolios zu verwalten, Transaktionen zu verfolgen und die Sicherheit zu verbessern. Die Branche implementiert Multi-Party Computation (MPC), Account Abstraction, biometrische Authentifizierung und verschlüsselten lokalen Speicher, um diese Interaktionen zu sichern. Standards wie ERC-8004 (mitgeführt von der Ethereum Foundation, MetaMask und Google) versuchen, verifizierbare Identitäten und Kredithistorien für KI-Agenten On-Chain zu schaffen.
Doch OpenClaw hat bewiesen, dass diese Schutzmaßnahmen noch nicht greifen – und Angreifer nutzen die Lücke bereits aus.
NVIDIAs Enterprise-Antwort: NemoClaw auf der GTC 2026
Während sich die OpenClaw-Sicherheitskrise entfaltete, sah NVIDIA eine Chance. Auf der GTC 2026 Mitte März kündigte das Unternehmen NemoClaw an, eine Open-Source-KI-Agenten-Plattform, die speziell für die Unternehmensautomatisierung entwickelt wurde und bei der Sicherheit und Datenschutz von Grund auf integriert sind.
Im Gegensatz zum konsumentenorientierten „Überall-installierbar“-Ansatz von OpenClaw zielt NemoClaw auf Unternehmen ab mit:
- Integrierten Sicherheits- und Datenschutz-Tools, die die Schwachstellen adressieren, die OpenClaw plagten
- Enterprise-Authentifizierung und Zugriffskontrollen, die das Desaster der Standardkonfiguration „offen für das Internet“ verhindern
- Multi-Plattform-Unterstützung, die über NVIDIA-Chips hinausgeht und die KI-Frameworks NeMo, Nemotron und Cosmos des Unternehmens nutzt
- Partner-Ökosystem, einschließlich Gesprächen mit Salesforce, Google, Cisco, Adobe und CrowdStrike
Der Zeitpunkt könnte nicht strategischer sein. Da das „Lobster Fever“ von OpenClaw die Gefahren konsumentenorientierter KI-Agenten offenlegte, positionierte NVIDIA NemoClaw als die sichere, unternehmstaugliche Alternative – und fordert damit potenziell OpenAI im Markt für Business-KI-Agenten heraus.
Für Web3-Unternehmen, die KI-integrierte Infrastruktur aufbauen, stellt NemoClaw eine potenzielle Lösung für die von OpenClaw aufgedeckten Sicherheitsprobleme dar: professionell verwaltete, auditierte und gesicherte KI-Agenten-Deployments, die sicher mit hochwertigen Blockchain-Assets interagieren können.
Der Weckruf, den Web3 brauchte
Die OpenClaw-Krise ist nicht nur eine Geschichte über KI-Sicherheit – es ist eine Geschichte über Blockchain-Infrastruktur.
Bedenken Sie die Auswirkungen:
- 135.000+ exponierte KI-Agenten mit potenziellem Zugriff auf Krypto-Wallets
- 1.184 bösartige Plugins, die gezielt Krypto-Nutzer angreifen
- Fünf chinesische Tech-Giganten, die Millionen von Installationen ohne angemessene Sicherheitsüberprüfung vorantreiben
- 60 % der Krypto-Wallets, die bis Ende des Jahres KI-Agenten nutzen sollen
- Keine weit verbreiteten Sicherheitsstandards für KI-Blockchain-Interaktionen
Dies ist der „Supply-Chain-Sicherheitsmoment“ für das Web3 – vergleichbar mit dem SolarWinds-Angriff 2020 in der traditionellen Finanzwelt (TradFi) oder dem DAO-Hack 2016 im Krypto-Bereich. Es offenbart eine fundamentale Wahrheit: Je leistungsfähiger und automatisierter die Blockchain-Infrastruktur wird, desto exponentieller vergrößert sich die Angriffsfläche.
Die Reaktion der Branche wird entscheiden, ob KI-Agenten zu einem sicheren Gateway für Web3-Funktionen werden oder zur größten Schwachstelle, die dieser Bereich je gesehen hat. Die Wahl zwischen delegierten Signiermodellen, Agenten-Allowances, MPC-Lösungen und Account Abstraction ist nicht nur technischer Natur – sie ist existenziell.
Was Web3-Entwickler jetzt tun sollten
Wenn Sie im Web3-Bereich bauen und KI-Agenten integrieren – oder dies planen –, finden Sie hier eine Checkliste:
- Überprüfen Sie die Sicherheit Ihres MCP-Servers: Wenn Sie private Schlüssel für den Zugriff von KI-Agenten verlangen, schaffen Sie Angriffsvektoren im Stil von ClawHavoc.
- Implementieren Sie delegiertes Signieren: Benutzer sollten immer die exklusive Kontrolle über die Transaktionssignierung behalten, selbst wenn die KI die Transaktionen vorbereitet.
- Nutzen Sie Allowance-basierte Modelle für autonome Agenten: Wenn Agenten unabhängig agieren müssen, geben Sie ihnen dedizierte Schlüssel mit strengen Ausgabenlimits.
- Installieren Sie KI-Agenten niemals mit Standard-Netzwerkkonfigurationen: Binden Sie sie immer an Localhost (
127.0.0.1), es sei denn, Sie verfügen über eine Authentifizierung auf Unternehmensniveau.
- Behandeln Sie KI-Agenten-Marktplätze wie App Stores: Verlangen Sie Code-Signierung, Sicherheitsaudits und Reputationssysteme, bevor Sie Drittanbieter-Skills vertrauen.
- Aufklärung der Nutzer über die Risiken von KI-Agenten: Die meisten Krypto-Nutzer verstehen nicht, dass ein KI-Agent funktional dem Gewähren von Root-Zugriff auf ihren Computer entspricht.
Die OpenClaw-Krise hat uns gelehrt, dass Security-by-Default wichtiger ist als Funktionen. Der Wettlauf um den Einsatz von KI-Agenten darf den Wettlauf um deren Sicherung nicht überholen.
Sie bauen eine Blockchain-Infrastruktur auf, die mit KI-Agenten verbunden ist? BlockEden.xyz bietet API-Infrastruktur auf Unternehmensniveau für über 40 Blockchains mit einer Security-First-Architektur, die für hochsensible Integrationen entwickelt wurde. Entdecken Sie unsere Dienstleistungen, um auf Fundamenten aufzubauen, die für die Ewigkeit geschaffen sind.
Quellen:
