Warum OpenClaw (ehemals Clawdbot) ein Weckruf für die Sicherheit von KI-Agenten ist
Im Januar, nur zwei Monate nach seinem Start, ging ein Open-Source-KI-Assistent namens Clawdbot viral. Innerhalb weniger Tage erreichte das Projekt seinen Höhepunkt: Zwischen dem 26. Januar und dem 1. Februar explodierte die Anzahl der Sterne auf GitHub von 9.000 auf über 100.000.
Die Entwickler waren begeistert. Das Versprechen war unwiderstehlich: eine persönliche KI mit „Händen“. Es könnte Ihre E-Mails lesen, im Internet surfen, Shell-Befehle ausführen und im Handumdrehen neue Fähigkeiten entwickeln.
Doch die Autonomie, die es nützlich macht, ist genau das, was es zu einer Belastung macht.
Sicherheitsforscher entdeckten schnell die Folgen: Mehr als 4.500 Instanzen waren im öffentlichen Internet zugänglich, und Hunderte von bösartigen „Skills“ hatten bereits das Plugin-Repository des Projekts überflutet. Sicherheitslücken, die die Ausführung von Remote-Code (RCE) ermöglichten, machten jede Clawdbot-Installation effektiv zu einem neuen Einfallstor für Angreifer.
Um die Verwirrung noch zu vergrößern, war das Projekt aufgrund von Markenrechtsproblemen gezwungen, innerhalb weniger Tage zweimal ein Rebranding vorzunehmen – zuerst in Moltbot, dann in OpenClaw. Die Instabilität bot Kryptobetrügern und Hackern eine ideale Angriffsfläche, indem sie Social-Media-Konten kaperten und gefälschte Plugins veröffentlichten, um die Verwirrung auszunutzen.
OpenClaw ist eine moderne Warnung. Es ist auch eine Vorschau auf die nächste große Herausforderung für die Unternehmenssicherheit. Das liegt daran, dass KI-Agenten nicht mehr nur plaudern – sie handeln. Sie benötigen umfassenden Zugang, um ihre Aufgaben zu erfüllen, und genau dieser Zugang macht sie zur ultimativen Bedrohung durch Insider.
KI-Agenten sind die neue Bedrohung durch Insider
Der Wandel vollzieht sich schneller, als den meisten Sicherheitsteams bewusst ist. Gartner prognostiziert, dass bis Ende 2026 40 % der Unternehmensanwendungen KI-Agenten integrieren werden, gegenüber weniger als 5 % im Jahr 2025. Laut PwC haben bereits 79 % der Unternehmen KI-Agenten in gewissem Umfang eingeführt. Unternehmen sehen sich heute mit einem Verhältnis von 82 zu 1 zwischen Maschinenidentitäten und menschlichen Identitäten konfrontiert.
Diese Agenten sind keine gewöhnlichen Chatbots. Sie handeln. Sie stellen Verbindungen zu Datenbanken her, rufen APIs auf, greifen auf Dateisysteme zu, versenden E-Mails und lösen Arbeitsabläufe aus. Sie arbeiten mit Zugangsdaten und Berechtigungen, die es ihnen ermöglichen, tief in die Unternehmensinfrastruktur einzudringen.
Laut Wendi Whitmore, Chief Security Intelligence Officer von Palo Alto Networks, stellen KI-Agenten die neue Bedrohung von innen dar. Im Gespräch mit der Technologie-Nachrichtenseite The Register sagte sie, dass Angreifer heutzutage, wenn sie in eine Umgebung eindringen, nicht mehr nur dem traditionellen Vorgehen folgen, sich seitlich zu einem Domänencontroller zu bewegen und Active Directory-Anmeldeinformationen abzugreifen. Stattdessen wenden sie sich direkt an das interne LLM und beginnen mit Abfragen, um die Aufklärungsarbeit für sie erledigen zu lassen.
„Es wird wahrscheinlich noch viel schlimmer werden, bevor es besser wird“, sagte sie.
Die OWASP Foundation hat diesen Wandel erkannt und Ende 2025 die Top 10 der agentenbasierten Anwendungen veröffentlicht. Die Liste nennt Risiken wie das Übernehmen von Agentenzielen, den Missbrauch von Werkzeugen, den Identitätsmissbrauch und das Agieren von unbefugten Agenten außerhalb ihrer vorgesehenen Grenzen.
Die Sicherheit von KI-Agenten ist keine rein theoretische Angelegenheit mehr. Sicherheitsforscher haben bereits Angriffe aus der realen Welt dokumentiert, die jede dieser Kategorien ausnutzen.
Man kann eine KI nicht sichern, die man nicht sieht.
Tatsächlich haben die meisten Organisationen keine Ahnung, womit ihre KI-Agenten Verbindungen herstellen.
Der Microsoft Data Security Index 2026 ergab, dass Unternehmen generative und agentenbasierte KI schneller einsetzen, als ihre Sicherheitskontrollen sich anpassen können.
Die Studie ergab, dass generative KI mittlerweile an 32 % aller Datensicherheitsvorfälle beteiligt ist. Auf die Frage nach ihrer größten Herausforderung nannten 29 % der Befragten die mangelhafte Integration zwischen Datensicherheits- und Datenmanagementplattformen als größtes Transparenzproblem.
Das ist das grundlegende Problem.
Agenten sind in Cloud-Umgebungen, SaaS-Anwendungen und lokalen Systemen einsetzbar. Sie umgehen die standardmäßige Identitätsüberwachung. Sie erzeugen blinde Flecken in der Sicherheitsarchitektur.
Ohne Einblick in die Aktivitäten der Agenten und deren Verbindungen agieren die Sicherheitsteams im Blindflug.
Hier schließt Illumio Insights eine entscheidende Transparenzlücke. Insights beobachtet das tatsächliche Verkehrs- und Kommunikationsverhalten in hybriden Umgebungen und zeigt so, wie Agenten, Workloads und Services tatsächlich miteinander kommunizieren – und nicht, wie die Teams es annehmen.
Wirksame Sicherheitsrichtlinien für KI-Agenten lassen sich nicht entwickeln, ohne vorher deren tatsächliches Verhalten zu verstehen. Welche APIs rufen sie auf? Welche Datenbanken werden abgefragt? Welche Dienstleistungen erreichen sie?
Die Antworten auf diese Fragen müssen durch Beobachtung und nicht durch Annahmen gewonnen werden.
Einschränkung der seitlichen Bewegungsfreiheit legitimer Agenten
Legitime KI-Agenten benötigen Netzwerkzugriff.
Ein Vertriebsmitarbeiter muss das CRM-System erreichen können. Ein Supportmitarbeiter benötigt Zugriff auf das Ticketsystem. Ein Programmierassistent muss mit Repositories und CI/CD-Pipelines interagieren können.
Wenn man jeglichen Zugriff blockiert, wird der Zweck des Einsatzes von Agenten von vornherein verfehlt.
Die Lösung besteht nicht darin, den gesamten Zugriff zu blockieren. Es dient dazu, den Zugriff genau auf die tatsächlichen Bedürfnisse jedes einzelnen Agenten zu beschränken.
Hier wird die Mikrosegmentierung durch Lösungen wie Illumio Segmentation unerlässlich. Durch Segmentierung können Organisationen die Agenten auf bestimmte Netzwerkzonen, Datenbanken oder Dienste beschränken, die für ihre Aufgaben erforderlich sind.
Wird ein Agent durch sofortige Einschleusung oder einen anderen Angriffsvektor kompromittiert, wird der Explosionsradius eingedämmt. Der Agent kann nur auf das zugreifen, worauf er explizit Zugriff erhalten hat.
Der Grundsatz lautet, dass Agenten nur über den minimalen Zugriff verfügen sollten, der zur Erfüllung ihrer Aufgaben erforderlich ist. So wie nicht jedem Auftragnehmer uneingeschränkter Netzwerkzugriff gewährt wird, sollten auch die Berechtigungen von Agenten auf das beschränkt werden, was sie nachweislich benötigen.
Das bedeutet, dass Sicherheitslücken, wenn sie doch auftreten, deutlich weniger Kosten verursachen. Angreifer können nicht von dem anfänglichen Fußabdruck auf wertvolle Vermögenswerte übergehen.
Wie man KI-Agenten absichert: Zuerst Transparenz, dann Durchsetzung
Der richtige Ansatz zur Absicherung von KI-Agenten folgt einer klaren Abfolge.
Beginnen Sie mit Sichtbarkeit. Alle Agenten, die von ihnen aufgerufenen APIs und die von ihnen abgerufenen Daten inventarisieren. Erfassen Sie ihre tatsächlichen Kommunikationsmuster. Verstehen, wie normales Verhalten aussieht.
Entwickeln Sie dann auf der Grundlage Ihrer Beobachtungen Strategien. Wenden Sie das Prinzip der minimalen Berechtigungen auf jede Agentenidentität an. Erstellen Sie Segmentierungsregeln, die es den Agenten ermöglichen, nur auf die Ressourcen zuzugreifen, die sie benötigen. Ersetzen Sie statische Anmeldeinformationen nach Möglichkeit durch kurzlebige Token.
Schließlich müssen diese Richtlinien auch in Echtzeit durchgesetzt werden. Auf Anomalien überwachen. Erkennen, wenn ein Agent versucht, etwas außerhalb seines zulässigen Bereichs zu erreichen. Die Fähigkeit besitzen, Agenten, die sich unerwartet verhalten, einzudämmen oder abzuschalten.
Dies ist der gleiche Ansatz, der sich für die Absicherung jeder beliebigen Arbeitslast eignet. KI-Agenten sind einfach eine weitere Art von Arbeitslast, die zufällig autonom ist und im Falle einer Kompromittierung potenziell gefährlicher sein kann.
Die Grundprinzipien der Segmentierung gelten unmittelbar: Alles sehen, Abhängigkeiten verstehen, auf der Grundlage der Realität Strategien entwickeln und Grenzen durchsetzen, die eine seitliche Bewegung einschränken.
OpenClaw war die Warnung. Das Risiko durch KI-Agenten ist Realität.
OpenClaw war ein Warnschuss. Die in diesem Projekt entdeckten Schwachstellen existieren in unzähligen KI-Agenten-Implementierungen in der gesamten Unternehmenslandschaft.
Der Unterschied zwischen einem begrenzten Vorfall und einem katastrophalen Sicherheitsverstoß lässt sich oft auf eine einzige Frage reduzieren: Was konnte der Angreifer erreichen, nachdem er kompromittiert worden war?
Organisationen, die KI-Agenten einsetzen, müssen diese Frage beantworten, bevor Angreifer es tun.
Der Weg nach vorn beginnt mit der Transparenz darüber, womit die Agenten tatsächlich Verbindungen herstellen. Es setzt sich fort mit Richtlinien, die das Prinzip der minimalen Berechtigungen auf Netzwerkebene durchsetzen. Und das Ergebnis ist eine Segmentierung, die den Explosionsradius enthält, wenn etwas schiefgeht.
Ihre Agenten sind bereits mit verschiedenen Systemen verbunden. Die Frage ist, ob Sie wissen, was los ist, und ob Sie die Kontrolle haben, den Schaden zu begrenzen, falls sich einer von ihnen gegen Sie wendet.
Besorgt darüber, worauf Ihre KI-Agenten alles zugreifen können? Testen Sie Illumio Insights kostenlos Heute erhalten Sie vollständige Echtzeit-Überwachung Ihrer Umgebungen.
.webp)
