KI-Agenten verschlingen Markdown-Skills wie Bonbons.
OpenClaw ist auf 46.000 explodiert – rohe Anweisungen, die jeder Agent runterschluckt, parst und blind ausführt. Stellen Sie sich vor, Ihr digitaler Butler kriegt ein Rezept, das Ihre Wallet heimlich an Fremde abhängt. Dieser Albtraum? Den hab ich gerade geprüft.
Ich baute clawhub-bridge, einen Scanner für Verhaltens-Alarmzeichen, nicht für Code-Bugs. 145 Muster in 42 Kategorien: curl an dubiose Server, Homoglyphen als harmlose Buchstaben getarnt, sudo für Root-Zugriff. Zufallsstichprobe 2000 Skills aus dem vollen Archiv? 14,5 % im Eimer. Sogar der „kuratierte“ Set bei 13,1 %.
Warum sind 14,5 % der OpenClaw-Skills durchgefallen?
Stellen Sie sich den frühen Android-App-Store vor, so 2010, als Entwickler Spyware-APKs hochluden, weil niemand prüfte, was sie tun, nur ob sie kompilieren. OpenClaw-Skills? Gleiches Spiel. Agenten nehmen sie als Evangelium – downloaden, ausführen, fertig.
Ich klonte Datasets: 559 „qualitätsgefilterte“ und 2000 aus 46.655 Wilden. Scanner los.
Die Stichprobe aus dem vollen Archiv spuckte 1034 CRITICAL, 406 HIGH und 75 MEDIUM aus.
Top-Schurken? 576 Skills pumpen Daten per curl POST an externe Server. 158 kyrillische Homoglyphen – die fiesen а (U+0430), die Augen täuschen und Anweisungen umdrehen. 82 betteln um sudo. 60 posten automatisch in Soziale Medien. Sogar 29 Krypto-Transfers.
Aber hier mein neuer Twist, nicht im Rohdata: Das erinnert an die AOL-Chatroom-Ära, wo „Skills“ Macros waren, die Adressbücher zerbombten. KI-Agenten machen’s schlimmer – ein kompromittierter Skill delegiert an 50 weitere, macht aus hilfreichem Bot eine Zombie-Armee. Kühne Vorhersage? Ohne Verhaltens-Leitplanken sehen wir bis Jahresende den ersten „OpenClaw-Wurm“, der Agent zu Agent hüpft.
Kurz: Kuration ist Pflaster.
Der polierte Haufen meidet Homoglyphen komplett (0 vs. 158). Aber Fail-Rate? Fast gleich. Filter erwischen Offensichtliches; Subtiles rutscht durch.
Nehmen Sie claude-connect: Verspricht „einfachen Claude-Anschluss“. Realität? Durchwühlt macOS Keychain nach OAuth-Tokens, hält sich via LaunchAgent alle zwei Stunden. Legitime Absicht? Vielleicht. Identisch mit Stealer. Kompromittieren Sie den Skill, und zack – Tokens überall.
Oder Agenten-Fallen: 50 tiefe Delegationsketten plus ignore_instructions-Hooks. Ihr vertrauenswürdiger Clawdbot wird zur Marionette, führt Malware von ungetesteten Vettern aus.
Kann OpenClaw seinem Ökosystem trauen?
LaunchAgents in 18 Skills. Systemd-Services in 14. Fein für Daemons – bis gepaart mit SSH-Key-Schnüfflern (43 Fälle) oder chmod-Tricks (32). Bleibende Brückenköpfe.
False Positives gibt’s – Auditoren mit Test-Payloads, chinesische Zero-Width-Spaces für schönes Typesetting. Manuelle Prüfung 73 kuratierter Flags? Echte Bedrohungen: 5–8 %. Trotzdem Tausende im Wilden.
Tools wie ClawSec jagen Checksums, CVEs. Sinnlos hier. Ein sauberer Skill kann immer noch „Keys exfiltrieren!“ brüllen. Verhaltens-Scanning – das ist der Plattform-Wechsel, wie iOS-Permissions Apps zähmten.
OpenClaws Hype? „Community-getriebene Utopie!“ Süß. Aber 14,5 %-Fail-Rate schreit: Behandelt Skills wie Executables, nicht Docs. Sandboxed sie. Prüft Verhalten. Oder seht zu, wie KI-Goldrausch zu Pyrit wird.
Adrenalin hoch – kein Weltuntergang. Sondern Schmiede sicherer KI-Plattformen. Erinnert an Windows Vistas UAC? Klobig am Start, zähmte Malware-Flut. OpenClaw könnte Agenten-Sandboxen gebären: Aktionen previewen, Muster whitelisten, KI-gegen-KI-Checks.
Die heimtückischen Muster, die mich am meisten ängstigen
Kyrillische Homoglyphen. 158 im Archiv. Filter verpassen sie, weil sie richtig aussehen. Ein Buchstabe getauscht, und „Report drucken“ wird „Keys nach Russland POSTEN“.
Remote-Code-Exec via curl | bash? 28 Mal. Klassiker.
Privileg-Eskalationen. Sudo in Skills? Euer Agent – als Ihr User – hebt sich hoch. Peng.
Und Krypto-Ops. 29 Skills fummeln an Wallets. „Helfer-Tool“, behaupten sie. Klar.
Schlimmer: Kombos. Exfil + Persistenz = Brückenkopf. Delegation + Ignore = Verwirrungsangriff.
Den OpenClaw-Wilden-West bändigen
pip install git+https://github.com/claude-go/clawhub-bridge.git. Selber laufen.
Kurations-Lücken leuchten: Ähnliche Raten, andere Gifte. Volles Archiv? Homoglyphen-Party. Kuratierter? Heimlicher.
Mein Fazit? Bestätigt meine alte 12 %-Markt-Sorge – jetzt 13–15 % flaggt im Ökosystem. KI-Agenten sind keine Apps; erweiterbare Gehirne. Bösartige Skills? Lobotomien in Wartestellung.
Fordern: Pflicht-Verhaltens-Sigs in Skills. Agenten-Hubs mit ML-Anomalie-Detektion. Community-Bounties für saubere Skills.
Potenzial staunt – sicheres OpenClaw als KI-App-Store 2.0, Plattformen von Code zu Intent.
Punch: Blind installieren? Finger weg.
Zusammengefasst: Tools hinken, aber clawhub-bridge zeigt: Scannen funktioniert. Zahlen lügen nicht: 1034 Criticals in 2000. Auf 5–8 % echte Bosheit getriaged, hochgerechnet auf 46k? Epidemie. Doch Kuration deutet Fortschritt an – iterieren, ignorieren nein.
Historisch: Androids Play Protect aus Chaos gewachsen. OpenClaw folgt.
🧬 Related Insights
- Mehr lesen: JavaScript’s Array.flat() Is Elegant. But Your Nested Data Might Need Something Meaner.
- Mehr lesen: How One Developer Built a Production Site for ₹0: The AWS-Cloudflare Blueprint That Actually Works
Häufige Fragen
Was sind OpenClaw-Skills?
Markdown-Dateien voller Anweisungen für KI-Agenten – über 46.000 im Ökosystem, roh downloaden und ausführen.
Wie viele OpenClaw-Skills enthalten bösartige Muster?
14,5 % in 2000-Skills-Stichprobe durch Scans; 5–8 % echte Bedrohungen nach Triage.
Was macht clawhub-bridge?
Scant Skills auf 145 Verhaltensmuster wie Exfiltration, Homoglyphen und Eskalationen – Verhaltenssicherheit für KI-Agenten.
