Agentische KI: Zwischen Autonomie und Angriffsfläche
Agentische KI: Wenn Systeme handeln statt antworten – Risiken,
Isolation und Sicherheitsmaßnahmen
10 Minuten
Podcast
Podcaster
Beschreibung
vor 5 Tagen
Agentische KI verschiebt den Fokus von Autocomplete zu Autonomie:
Moderne Agenten planen Aufgaben, wählen Tools, behalten Kontext und
handeln auf Systemen mit echten Rechten. Genau diese
Handlungsfähigkeit macht den Nutzen aus, aber sie dreht das
Sicherheitsprofil um. Wo KI nicht nur antwortet, sondern Dateien
liest, Shell-Befehle ausführt, Prozesse startet oder
Konfigurationen ändert, reichen kleine Fehler für großen Schaden.
Am Beispiel des Open-Source-Systems OpenClaw wird deutlich, wie
schnell Produktivität in Risiko kippt, wenn frühe Entwicklung,
schnelles Ökosystem-Wachstum und unvollständige manuelle Prüfungen
zusammenkommen. Zentrale Angriffsfläche ist das Gateway mit Control
UI, also Web-Oberfläche und API zur Steuerung eines privilegierten
Agenten. Analysen berichten von vielen öffentlich erreichbaren
Instanzen; hinzu kommen konkrete Schwachstellen, bei denen Tokens
über Web-Mechanismen abgegriffen und anschließend
Remote-Code-Ausführung ermöglicht werden können (CVE-2026-25253,
behoben ab OpenClaw 2026.1.29). Parallel wächst das
Supply-Chain-Risiko durch Skills und Plugins aus dem
ClawHub-Ökosystem. Sicherheitsberichte dokumentieren hunderte
bösartige Skills, die sich als hilfreiche Tools tarnen, Nutzer zu
Terminal-Kommandos verleiten und Stealer-Malware nachladen oder
Credentials und Wallet-Keys abgreifen. OpenClaw reagiert mit
zusätzlichen Prüfmechanismen wie VirusTotal-Scanning, doch selbst
solche Maßnahmen gelten nicht als vollständige Lösung, weil
verschleierte Payloads und Prompt-Injection-Techniken weiter
durchrutschen können. Prompt Injection wird damit zum Kernproblem
agentischer Systeme: Externe Inhalte wie Webseiten, E-Mails oder
Forenbeiträge sind nicht nur Daten, sondern können als „Anweisung“
in den Handlungsfluss geraten. In Multi-Agent-Setups potenziert
sich das, weil Instruktionen über mehrere Knoten weitergegeben
werden. Forschung diskutiert Gegenmittel wie Provenance-Tracking,
Sanitizer und getrennte Output-Validierung, um Quellen, Vertrauen
und erlaubte Aktionen technisch zu erzwingen. Ein aktuelles
Beispiel für die praktische Dimension ist Moltbook, ein virales
„Agenten-Forum“, bei dem Berichte von schweren Fehlkonfigurationen
und frei zugänglichen Daten sprechen; solche Leaks sind besonders
brisant, weil sie für Identitätsmissbrauch und Agentenübernahmen
reichen können. Aus den Risiken folgen klare Betriebsempfehlungen:
Agenten nicht auf dem Hauptrechner betreiben, sondern standardmäßig
isolieren (VM, separater Rechner, Server). Die Control UI nicht
offen ins Internet stellen, Netzwerkflächen minimieren, Tokens wie
Geheimnisse behandeln und Zugriffe über VPN/Zero-Trust absichern.
Skills müssen wie ausführbare Programme bewertet werden, inklusive
Misstrauen gegenüber „Prerequisites“ und Shell-Downloads.
Zusätzlich hilft Least Privilege: eigene Konten, getrennte
Postfächer, begrenzte Datenräume statt Vollzugriff auf persönliche
Infrastruktur. Bei der Modellwahl kommen Kosten- und
Sicherheitsaspekte zusammen; stärkere Modelle können Angriffe
besser erkennen, bleiben aber nicht immun, daher sind
Budget-Limits, Monitoring und Loop-Erkennung Pflicht. Der Ausblick:
Sobald Agenten Smart-Home- oder andere physische Systeme steuern,
wird Prompt Injection von digitaler Panne zu realem
Sicherheitsrisiko. Quellen: OpenClaw Integrates VirusTotal Scanning
to Detect Malicious ClawHub Skills —
https://thehackernews.com/2026/02/openclaw-integrates-virustotal-scanning.html
OpenClaw Bug Enables One-Click Remote Code Execution via Malicious
Link —
https://thehackernews.com/2026/02/openclaw-bug-enables-one-click-remote.html
CVE-2026-25253: OpenClaw/Clawdbot has 1-Click RCE via
Authentication Token Exfiltration From gatewayUrl —
https://advisories.gitlab.com/pkg/npm/clawdbot/CVE-2026-25253/
Malicious OpenClaw 'skill' targets crypto users on ClawHub —
https://www.tomshardware.com/tech-industry/cyber-security/malicious-moltbot-skill-targets-crypto-users-on-clawhub
OpenClaw’s AI ‘skill’ extensions are a security nightmare —
https://www.theverge.com/news/874011/openclaw-ai-skill-clawhub-extensions-security-nightmare
OpenClaw agents targeted with 341 malicious ClawHub skills —
https://www.scworld.com/news/openclaw-agents-targeted-with-341-malicious-clawhub-skills
AI agent social media network Moltbook is a security disaster —
https://www.techradar.com/pro/security/ai-agent-social-media-network-moltbook-is-a-security-disaster-millions-of-credentials-and-other-details-left-unsecured
Security News This Week: Moltbook, the Social Network for AI
Agents, Exposed Real Humans' Data —
https://www.wired.com/story/security-news-this-week-moltbook-the-social-network-for-ai-agents-exposed-real-humans-data
Toward Trustworthy Agentic AI: A Multimodal Framework for
Preventing Prompt Injection Attacks —
https://arxiv.org/abs/2512.23557 ChatInject: Abusing Chat Templates
for Prompt Injection in LLM Agents —
https://arxiv.org/abs/2509.22830
Moderne Agenten planen Aufgaben, wählen Tools, behalten Kontext und
handeln auf Systemen mit echten Rechten. Genau diese
Handlungsfähigkeit macht den Nutzen aus, aber sie dreht das
Sicherheitsprofil um. Wo KI nicht nur antwortet, sondern Dateien
liest, Shell-Befehle ausführt, Prozesse startet oder
Konfigurationen ändert, reichen kleine Fehler für großen Schaden.
Am Beispiel des Open-Source-Systems OpenClaw wird deutlich, wie
schnell Produktivität in Risiko kippt, wenn frühe Entwicklung,
schnelles Ökosystem-Wachstum und unvollständige manuelle Prüfungen
zusammenkommen. Zentrale Angriffsfläche ist das Gateway mit Control
UI, also Web-Oberfläche und API zur Steuerung eines privilegierten
Agenten. Analysen berichten von vielen öffentlich erreichbaren
Instanzen; hinzu kommen konkrete Schwachstellen, bei denen Tokens
über Web-Mechanismen abgegriffen und anschließend
Remote-Code-Ausführung ermöglicht werden können (CVE-2026-25253,
behoben ab OpenClaw 2026.1.29). Parallel wächst das
Supply-Chain-Risiko durch Skills und Plugins aus dem
ClawHub-Ökosystem. Sicherheitsberichte dokumentieren hunderte
bösartige Skills, die sich als hilfreiche Tools tarnen, Nutzer zu
Terminal-Kommandos verleiten und Stealer-Malware nachladen oder
Credentials und Wallet-Keys abgreifen. OpenClaw reagiert mit
zusätzlichen Prüfmechanismen wie VirusTotal-Scanning, doch selbst
solche Maßnahmen gelten nicht als vollständige Lösung, weil
verschleierte Payloads und Prompt-Injection-Techniken weiter
durchrutschen können. Prompt Injection wird damit zum Kernproblem
agentischer Systeme: Externe Inhalte wie Webseiten, E-Mails oder
Forenbeiträge sind nicht nur Daten, sondern können als „Anweisung“
in den Handlungsfluss geraten. In Multi-Agent-Setups potenziert
sich das, weil Instruktionen über mehrere Knoten weitergegeben
werden. Forschung diskutiert Gegenmittel wie Provenance-Tracking,
Sanitizer und getrennte Output-Validierung, um Quellen, Vertrauen
und erlaubte Aktionen technisch zu erzwingen. Ein aktuelles
Beispiel für die praktische Dimension ist Moltbook, ein virales
„Agenten-Forum“, bei dem Berichte von schweren Fehlkonfigurationen
und frei zugänglichen Daten sprechen; solche Leaks sind besonders
brisant, weil sie für Identitätsmissbrauch und Agentenübernahmen
reichen können. Aus den Risiken folgen klare Betriebsempfehlungen:
Agenten nicht auf dem Hauptrechner betreiben, sondern standardmäßig
isolieren (VM, separater Rechner, Server). Die Control UI nicht
offen ins Internet stellen, Netzwerkflächen minimieren, Tokens wie
Geheimnisse behandeln und Zugriffe über VPN/Zero-Trust absichern.
Skills müssen wie ausführbare Programme bewertet werden, inklusive
Misstrauen gegenüber „Prerequisites“ und Shell-Downloads.
Zusätzlich hilft Least Privilege: eigene Konten, getrennte
Postfächer, begrenzte Datenräume statt Vollzugriff auf persönliche
Infrastruktur. Bei der Modellwahl kommen Kosten- und
Sicherheitsaspekte zusammen; stärkere Modelle können Angriffe
besser erkennen, bleiben aber nicht immun, daher sind
Budget-Limits, Monitoring und Loop-Erkennung Pflicht. Der Ausblick:
Sobald Agenten Smart-Home- oder andere physische Systeme steuern,
wird Prompt Injection von digitaler Panne zu realem
Sicherheitsrisiko. Quellen: OpenClaw Integrates VirusTotal Scanning
to Detect Malicious ClawHub Skills —
https://thehackernews.com/2026/02/openclaw-integrates-virustotal-scanning.html
OpenClaw Bug Enables One-Click Remote Code Execution via Malicious
Link —
https://thehackernews.com/2026/02/openclaw-bug-enables-one-click-remote.html
CVE-2026-25253: OpenClaw/Clawdbot has 1-Click RCE via
Authentication Token Exfiltration From gatewayUrl —
https://advisories.gitlab.com/pkg/npm/clawdbot/CVE-2026-25253/
Malicious OpenClaw 'skill' targets crypto users on ClawHub —
https://www.tomshardware.com/tech-industry/cyber-security/malicious-moltbot-skill-targets-crypto-users-on-clawhub
OpenClaw’s AI ‘skill’ extensions are a security nightmare —
https://www.theverge.com/news/874011/openclaw-ai-skill-clawhub-extensions-security-nightmare
OpenClaw agents targeted with 341 malicious ClawHub skills —
https://www.scworld.com/news/openclaw-agents-targeted-with-341-malicious-clawhub-skills
AI agent social media network Moltbook is a security disaster —
https://www.techradar.com/pro/security/ai-agent-social-media-network-moltbook-is-a-security-disaster-millions-of-credentials-and-other-details-left-unsecured
Security News This Week: Moltbook, the Social Network for AI
Agents, Exposed Real Humans' Data —
https://www.wired.com/story/security-news-this-week-moltbook-the-social-network-for-ai-agents-exposed-real-humans-data
Toward Trustworthy Agentic AI: A Multimodal Framework for
Preventing Prompt Injection Attacks —
https://arxiv.org/abs/2512.23557 ChatInject: Abusing Chat Templates
for Prompt Injection in LLM Agents —
https://arxiv.org/abs/2509.22830
Weitere Episoden
16 Minuten
vor 2 Tagen
16 Minuten
vor 6 Tagen
9 Minuten
vor 1 Woche
15 Minuten
vor 1 Woche
In Podcasts werben
Kommentare (0)