Agentische KI: Zwischen Autonomie und Angriffsfläche

Agentische KI verschiebt den Fokus von Autocomplete zu Autonomie: Moderne Agenten planen Aufgaben, wählen Tools, behalten Kontext und handeln auf Systemen mit echten Rechten. Genau diese Handlungsfähigkeit macht den Nutzen aus, aber sie dreht das Sicherheitsprofil um. Wo KI nicht nur antwortet, sondern Dateien liest, Shell-Befehle ausführt, Prozesse startet oder Konfigurationen ändert, reichen kleine Fehler für großen Schaden. Am Beispiel des Open-Source-Systems OpenClaw wird deutlich, wie schnell Produktivität in Risiko kippt, wenn frühe Entwicklung, schnelles Ökosystem-Wachstum und unvollständige manuelle Prüfungen zusammenkommen. Zentrale Angriffsfläche ist das Gateway mit Control UI, also Web-Oberfläche und API zur Steuerung eines privilegierten Agenten. Analysen berichten von vielen öffentlich erreichbaren Instanzen; hinzu kommen konkrete Schwachstellen, bei denen Tokens über Web-Mechanismen abgegriffen und anschließend Remote-Code-Ausführung ermöglicht werden können (CVE-2026-25253, behoben ab OpenClaw 2026.1.29). Parallel wächst das Supply-Chain-Risiko durch Skills und Plugins aus dem ClawHub-Ökosystem. Sicherheitsberichte dokumentieren hunderte bösartige Skills, die sich als hilfreiche Tools tarnen, Nutzer zu Terminal-Kommandos verleiten und Stealer-Malware nachladen oder Credentials und Wallet-Keys abgreifen. OpenClaw reagiert mit zusätzlichen Prüfmechanismen wie VirusTotal-Scanning, doch selbst solche Maßnahmen gelten nicht als vollständige Lösung, weil verschleierte Payloads und Prompt-Injection-Techniken weiter durchrutschen können. Prompt Injection wird damit zum Kernproblem agentischer Systeme: Externe Inhalte wie Webseiten, E-Mails oder Forenbeiträge sind nicht nur Daten, sondern können als „Anweisung“ in den Handlungsfluss geraten. In Multi-Agent-Setups potenziert sich das, weil Instruktionen über mehrere Knoten weitergegeben werden. Forschung diskutiert Gegenmittel wie Provenance-Tracking, Sanitizer und getrennte Output-Validierung, um Quellen, Vertrauen und erlaubte Aktionen technisch zu erzwingen. Ein aktuelles Beispiel für die praktische Dimension ist Moltbook, ein virales „Agenten-Forum“, bei dem Berichte von schweren Fehlkonfigurationen und frei zugänglichen Daten sprechen; solche Leaks sind besonders brisant, weil sie für Identitätsmissbrauch und Agentenübernahmen reichen können. Aus den Risiken folgen klare Betriebsempfehlungen: Agenten nicht auf dem Hauptrechner betreiben, sondern standardmäßig isolieren (VM, separater Rechner, Server). Die Control UI nicht offen ins Internet stellen, Netzwerkflächen minimieren, Tokens wie Geheimnisse behandeln und Zugriffe über VPN/Zero-Trust absichern. Skills müssen wie ausführbare Programme bewertet werden, inklusive Misstrauen gegenüber „Prerequisites“ und Shell-Downloads. Zusätzlich hilft Least Privilege: eigene Konten, getrennte Postfächer, begrenzte Datenräume statt Vollzugriff auf persönliche Infrastruktur. Bei der Modellwahl kommen Kosten- und Sicherheitsaspekte zusammen; stärkere Modelle können Angriffe besser erkennen, bleiben aber nicht immun, daher sind Budget-Limits, Monitoring und Loop-Erkennung Pflicht. Der Ausblick: Sobald Agenten Smart-Home- oder andere physische Systeme steuern, wird Prompt Injection von digitaler Panne zu realem Sicherheitsrisiko. Quellen: OpenClaw Integrates VirusTotal Scanning to Detect Malicious ClawHub Skills — https://thehackernews.com/2026/02/openclaw-integrates-virustotal-scanning.html OpenClaw Bug Enables One-Click Remote Code Execution via Malicious Link — https://thehackernews.com/2026/02/openclaw-bug-enables-one-click-remote.html CVE-2026-25253: OpenClaw/Clawdbot has 1-Click RCE via Authentication Token Exfiltration From gatewayUrl — https://advisories.gitlab.com/pkg/npm/clawdbot/CVE-2026-25253/ Malicious OpenClaw 'skill' targets crypto users on ClawHub — https://www.tomshardware.com/tech-industry/cyber-security/malicious-moltbot-skill-targets-crypto-users-on-clawhub OpenClaw’s AI ‘skill’ extensions are a security nightmare — https://www.theverge.com/news/874011/openclaw-ai-skill-clawhub-extensions-security-nightmare OpenClaw agents targeted with 341 malicious ClawHub skills — https://www.scworld.com/news/openclaw-agents-targeted-with-341-malicious-clawhub-skills AI agent social media network Moltbook is a security disaster — https://www.techradar.com/pro/security/ai-agent-social-media-network-moltbook-is-a-security-disaster-millions-of-credentials-and-other-details-left-unsecured Security News This Week: Moltbook, the Social Network for AI Agents, Exposed Real Humans' Data — https://www.wired.com/story/security-news-this-week-moltbook-the-social-network-for-ai-agents-exposed-real-humans-data Toward Trustworthy Agentic AI: A Multimodal Framework for Preventing Prompt Injection Attacks — https://arxiv.org/abs/2512.23557 ChatInject: Abusing Chat Templates for Prompt Injection in LLM Agents — https://arxiv.org/abs/2509.22830