Sicherheitsanatomie von OpenClaw: Was die 35 Agenten von AiSec im Weltweit Beliebtesten KI-Agenten Fanden

KI-Agenten sind nicht mehr experimentell. Sie schreiben Code, verwalten Infrastruktur, wickeln Kundeninteraktionen ab und treffen Entscheidungen, die Millionen von Menschen betreffen. Doch waehrend sich die Branche auf Faehigkeiten fixiert hat — wie viele Tools ein Agent nutzen kann, wie viele Token er verarbeiten kann, wie autonom er operieren kann — wurde Sicherheit als nachrangig behandelt. Die Annahme scheint zu sein, dass ein KI-Agent, wenn er populaer genug ist, auch sicher genug sein muss. Diese Annahme ist falsch.

Wir haben AiSec (github.com/fboiero/AiSec) entwickelt, um diese Annahme systematisch zu testen. AiSec ist ein Open-Source-KI-Sicherheitsframework, das 35 spezialisierte KI-Agenten einsetzt, um KI-Systeme auf Schwachstellen zu scannen — von Prompt-Injection und Sandbox-Escapes bis hin zu Datenlecks und Compliance-Luecken. Wir haben uns entschieden, es gegen das groesste Ziel einzusetzen, das wir finden konnten: OpenClaw, den weltweit beliebtesten KI-Agenten mit 191.000 GitHub-Sternen. Was wir in 4 Minuten und 12 Sekunden gefunden haben, sollte jede Organisation beunruhigen, die KI-Agenten in der Produktion einsetzt.

Was ist OpenClaw?

OpenClaw ist das weltweit beliebteste Open-Source-KI-Agenten-Framework mit ueber 191.000 Sternen auf GitHub und einer aktiven Community von Tausenden von Mitwirkenden. Es bietet eine universelle Architektur zum Erstellen von KI-Agenten, die Tools verwenden, Code ausfuehren, im Web surfen, mit APIs interagieren und komplexe mehrstufige Workflows verketten koennen. Seine Popularitaet beruht auf seiner Flexibilitaet: OpenClaw-Agenten koennen fuer alles konfiguriert werden, von einfachen Chatbot-Assistenten bis hin zu autonomen Coding-Agenten, Datenanalyse-Pipelines und Enterprise-Workflow-Automatisierung.

Die Architektur von OpenClaw folgt dem mittlerweile standardmaessigen agentischen Muster: ein Sprachmodell-Kern mit Zugang zu einer Tool-Registry, ein Speichersystem zur Aufrechterhaltung des Kontexts ueber Interaktionen hinweg und eine Ausfuehrungs-Engine, die die mehrstufige Aufgabenbearbeitung orchestriert. Es unterstuetzt mehrere LLM-Backends, anpassbare Tool-Sets und erweiterbare Plugin-Architekturen. Diese Flexibilitaet ist sowohl seine Staerke als auch — aus Sicherheitsperspektive — seine bedeutendste Risikoflaeche. Jeder Erweiterungspunkt ist ein potenzieller Angriffsvektor. Jede Tool-Integration ist eine Privilegiengrenze, die ueberschritten werden kann.

Die Herausforderung: Warum den Beliebtesten KI-Agenten Auditieren?

OpenClaw zu auditieren war nicht darauf ausgerichtet, Fehler bei seinen Maintainern zu finden — die etwas wirklich Beeindruckendes aufgebaut haben. Es ging darum, eine Frage zu beantworten, die fuer das gesamte KI-Oekosystem von Bedeutung ist: Wie sicher ist das am meisten getestete, am meisten ueberprufte und am meisten eingesetzte KI-Agenten-Framework? Wenn OpenClaw signifikante Sicherheitsluecken hat, was sagt uns das ueber die Hunderte weniger gepruefter Agenten-Frameworks, die in der Produktion eingesetzt werden?

Traditionelle Sicherheitsaudits von KI-Systemen sind langsam, teuer und unvollstaendig. Ein menschlicher Penetrationstester koennte Wochen mit der Ueberpruefung eines Agenten-Frameworks verbringen und dennoch Schwachstellenklassen uebersehen, auf die er nicht spezialisiert ist. Der Prompt-Injection-Experte erkennt moeglicherweise nicht den Sandbox-Escape. Der Compliance-Auditor identifiziert moeglicherweise nicht den Datenleck-Pfad. Wir brauchten ein Tool, das die gesamte Angriffsflaeche abdecken konnte — jede Schwachstellenklasse, jedes Compliance-Framework, jede Schicht der Agenten-Architektur — in Minuten, nicht Wochen. Deshalb haben wir AiSec entwickelt.

AiSec: 35 Agenten, Eine Mission

AiSec (github.com/fboiero/AiSec) ist ein Open-Source-KI-Sicherheitsframework, entwickelt von Xcapit. Es verfolgt einen grundlegend anderen Ansatz zur KI-Sicherheitsbewertung: Statt einen einzelnen Scanner mit einer Checkliste von Regeln auszufuehren, setzt AiSec 35 spezialisierte KI-Agenten ein, die jeweils trainiert und konfiguriert sind, um eine bestimmte Klasse von Schwachstellen zu erkennen. Diese Agenten arbeiten parallel und teilen Kontext ueber eine Koordinationsschicht, die agentenuebergreifende Korrelation ermoeglicht — sie finden Schwachstellenketten, die kein einzelner Agent allein erkennen wuerde.

Die 35 Agenten umfassen PromptInjectionAgent (testet direkte, indirekte und Multi-Turn-Injection-Vektoren), SandboxEscapeAgent (sondiert Code-Execution-Grenzen und Container-Escapes), DataLeakageAgent (verfolgt Datenfluesse auf Offenlegung sensibler Informationen), ToolChainAgent (analysiert Privilege-Escalation-Pfade zwischen Tools), AuthenticationAgent (testet Identitaets- und Zugriffskontrollmechanismen) und ComplianceAgent (bildet Befunde auf regulatorische und Framework-Anforderungen ab). Zusaetzliche Agenten decken Supply-Chain-Integritaet, Model-Poisoning-Vektoren, Rate-Limiting, API-Sicherheit, Memory-Injection, Serialisierungsangriffe und mehr ab.

Die 5-Schichten-Analysearchitektur

AiSec organisiert seine Analyse in fuenf verschiedene Schichten, die jeweils einen anderen Aspekt der Sicherheitslage des KI-Systems adressieren. Dieser geschichtete Ansatz stellt umfassende Abdeckung sicher — von Low-Level-Code-Schwachstellen bis hin zu High-Level-Compliance-Luecken.

• Schicht 1 — Statische Analyse: Quellcode-Scanning auf hartcodierte Geheimnisse, unsichere Muster, Abhaengigkeitsschwachstellen und Konfigurationsschwaechen. Die statischen Agenten von AiSec analysierten ueber 340.000 Zeilen OpenClaw-Code in 2.100 Dateien in 47 Sekunden.
• Schicht 2 — Dynamische Analyse: Laufzeittests des Agentenverhaltens unter adversarialen Bedingungen. Agenten senden speziell erstellte Eingaben, beobachten Tool-Aufrufe, ueberwachen Ressourcenzugriff und testen Grenzbedingungen. Diese Schicht identifizierte 28 der 63 Befunde.
• Schicht 3 — Architekturanalyse: Bewertung der Designmuster, Privilegiengrenzen, Datenflusspfade und Vertrauensbeziehungen des Systems. ToolChainAgent und AuthenticationAgent operieren hauptsaechlich auf dieser Schicht und identifizieren strukturelle Schwaechen, die mehrstufige Angriffe ermoeglichen.
• Schicht 4 — Datenflussanalyse: End-to-End-Verfolgung, wie Benutzerdaten, Konversationskontext und Tool-Ausgaben durch das System fliessen. Der DataLeakageAgent verfolgt sensible Informationen von der Aufnahme ueber die Verarbeitung bis zur Speicherung und identifiziert Punkte, an denen Daten ihre vorgesehene Grenze verlassen.
• Schicht 5 — Compliance-Mapping: Automatisierte Korrelation aller Befunde der Schichten 1-4 gegen 8 Sicherheitsframeworks. Jeder Befund erhaelt framework-spezifische Schweregradbewertungen, Remediierungsanleitungen und Compliance-Impact-Bewertungen.

Ergebnisse: 63 Befunde in 4 Minuten

AiSec hat seine vollstaendige Analyse von OpenClaw in 4 Minuten und 12 Sekunden abgeschlossen. Die 35 Agenten identifizierten gemeinsam 63 Sicherheitsbefunde ueber alle fuenf Analyseschichten hinweg. Die Schweregradverteilung war signifikant: 8 kritische Befunde, die sofortige Aufmerksamkeit erfordern, 15 Befunde mit hohem Schweregrad mit ausnutzbaren Angriffspfaden, 22 Befunde mit mittlerem Schweregrad, die Luecken in der Defense-in-Depth darstellen, und 18 Befunde mit niedrigem Schweregrad, die Haertungsmoeglichkeiten und Abweichungen von Best Practices abdecken.

• Kritisch (8): Prompt-Injection-Vektoren mit nachgewiesener Code-Ausfuehrung, Sandbox-Escape-Pfade, Offenlegung sensibler Daten in persistentem Speicher, uneingeschraenktes Tool-Chaining, das Privilege-Escalation ermoeglicht
• Hoch (15): Ungenugende Eingabevalidierung bei Tool-Parametern, fehlendes Rate-Limiting bei Agentenschleifen, schwache Isolation zwischen Benutzersitzungen, unsichere Standardkonfigurationen fuer Plugin-Laden, API-Key-Offenlegung durch Fehlermeldungen
• Mittel (22): Unvollstaendiges Logging sicherheitsrelevanter Ereignisse, fehlende Integritaetspruefungen bei Plugin-Code, ungenugende Timeout-Kontrollen bei externen API-Aufrufen, uebermassig permissive CORS-Konfigurationen, Fehlen von Content-Security-Policies fuer gerenderte Ausgaben
• Niedrig (18): Informationsbefunde einschliesslich veralteter Abhaengigkeitsversionen, nicht-standardmaessiger Fehlerbehandlungsmuster, fehlender Sicherheitsheader bei internen Endpunkten, Dokumentationsluecken fuer Sicherheitskonfigurationsoptionen

Vertiefte Analyse Kritischer Befunde

CVE-2026-25253: Multi-Vektor-Prompt-Injection

Der PromptInjectionAgent identifizierte eine kritische Prompt-Injection-Schwachstelle, die es einem Angreifer ermoeglicht, OpenClaws Systeminstruktionen durch manipulierten Inhalt in externen Datenquellen zu ueberschreiben. Der Angriff nutzt aus, dass OpenClaw Tool-Ausgaben — einschliesslich Webseiteninhalte, Dateiinhalte und API-Antworten — im selben Kontext wie Systeminstruktionen verarbeitet, ohne angemessene Grenzendurchsetzung. Ein Angreifer, der irgendwelchen Inhalt kontrolliert, den der Agent abruft (eine Webseite, ein Dokument, ein Code-Repository), kann Anweisungen einbetten, die der Agent mit seinem vollen Tool-Zugang ausfuehren wird.

Der PromptInjectionAgent demonstrierte diese Schwachstelle durch drei unabhaengige Angriffsvektoren: versteckte Anweisungen in Markdown-Kommentaren innerhalb abgerufener Dokumente, Unicode-Steuerzeichen, die den Prompt-Kontext umstrukturieren, und Multi-Turn-Kontextmanipulation, die das Instruktionsfolgen des Agenten schrittweise umlenkt. Jeder Vektor wurde in der Standardkonfiguration als ausnutzbar bestaetigt, und zwei blieben auch mit OpenClaws optionalem 'strikten Modus' ausnutzbar. Dieser Befund wurde als CVE-2026-25253 zugewiesen und betrifft alle Versionen vor dem neuesten Sicherheitspatch.

Sandbox-Escape durch Code-Ausfuehrung

Der SandboxEscapeAgent entdeckte, dass OpenClaws Code-Execution-Sandbox — die Umgebung, in der vom Benutzer angefordeter Code laeuft — ungenugende Isolation vom Host-System aufweist. Durch eine Sequenz sorgfaeltig erstellter Code-Execution-Anfragen kann ein Agent auf das Host-Dateisystem jenseits seines zugewiesenen Sandbox-Verzeichnisses zugreifen, Umgebungsvariablen lesen (einschliesslich API-Keys und Anmeldeinformationen, die in der Shell-Umgebung gespeichert sind) und in bestimmten Konfigurationen ausgehende Netzwerkverbindungen herstellen, um Daten zu exfiltrieren.

Der Escape-Pfad nutzt eine Race Condition in der Sandbox-Initialisierungssequenz: Waehrend des 200-Millisekunden-Fensters zwischen Prozesserstellung und Sandbox-Policy-Anwendung hat ausgefuehrter Code Zugang zur uneingeschraenkten Host-Umgebung. Der SandboxEscapeAgent automatisierte die Ausnutzung dieses Fensters und demonstrierte zuverlaessigen Dateileseezugriff auf /etc/passwd, Extraktion von Umgebungsvariablen und DNS-basierte Datenexfiltration — alles innerhalb dessen, was Benutzer fuer eine isolierte Execution-Sandbox halten.

Offenlegung Sensibler Daten in Konversationsprotokollen

Der DataLeakageAgent verfolgte OpenClaws Datenfluss und identifizierte, dass Konversationsverlaeufe — die routinemaessig API-Keys, Passwoerter, persoenliche Informationen und proprietaeren Code enthalten, den Benutzer teilen — im Klartext auf dem lokalen Dateisystem gespeichert werden, mit Berechtigungen, die Zugriff durch jeden Prozess ermoglichen, der unter demselben Benutzerkonto laeuft. In Multi-User-Deployments (die einen signifikanten Prozentsatz der Enterprise-OpenClaw-Installationen ausmachen) bedeutet dies, dass die Konversationsdaten jedes Benutzers potenziell fuer die Prozesse anderer Benutzer zugaenglich sind.

Privilege-Escalation durch Tool-Chaining

Der ToolChainAgent identifizierte einen kritischen Privilege-Escalation-Pfad, bei dem ein Agent mit Zugang zu einem begrenzten Satz von Tools Tool-Aufrufe verketten kann, um Faehigkeiten jenseits seiner vorgesehenen Berechtigungen zu erlangen. Konkret demonstrierte der Agent, dass ein Tool mit Nur-Lese-Dateisystemzugriff das Code-Execution-Tool aufrufen kann, um Dateien zu schreiben, die wiederum verwendet werden koennen, um die eigene Konfiguration des Agenten zu modifizieren und zusaetzlichen Tool-Zugang zu gewaehren. Diese Selbstmodifikationsfaehigkeit umgeht effektiv jedes Berechtigungsmodell, das auf Konfigurationsebene angewendet wird.

Cross-Framework-Korrelation: 8 Frameworks, Ein Bericht

Eine der leistungsfaehigsten Faehigkeiten von AiSec ist die automatisierte Cross-Framework-Korrelation. Jeder Befund wird auf alle anwendbaren Kontrollen ueber 8 Sicherheitsframeworks gleichzeitig abgebildet: OWASP Top 10 fuer LLMs (2025), NIST AI Risk Management Framework (AI RMF), MITRE ATLAS (Adversarial Threat Landscape for AI Systems), ISO 42001 (AI Management System), EU AI Act (Risikoklassifizierungen und Anforderungen), OWASP Application Security Verification Standard (ASVS), CIS Controls v8 und NIST Cybersecurity Framework 2.0.

Diese Cross-Framework-Abbildung ist nicht nur eine akademische Uebung — sie ist operativ kritisch. Ein CISO, der die KI-Sicherheitslage dem Vorstand berichten muss, bildet Befunde auf NIST CSF ab. Ein Compliance-Team, das sich auf EU-AI-Act-Anforderungen vorbereitet, bildet Befunde auf die Risikokategorien der Verordnung ab. Ein Entwicklungsteam, das Korrekturen priorisiert, bildet Befunde auf OWASP fuer umsetzbare Remediierungsanleitung ab. AiSec generiert alle diese Ansichten aus einem einzigen Scan und eliminiert den manuellen Aufwand der Querverweissung von Befunden ueber Frameworks hinweg.

Fuer die OpenClaw-Analyse ergab die Cross-Framework-Korrelation, dass 6 der 8 kritischen Befunde auf OWASP LLM01 (Prompt-Injection) oder LLM06 (Offenlegung sensibler Informationen) abbilden. Unter dem EU AI Act wuerde der Einsatz von OpenClaw in autonomer Entscheidungsfindung es als Hochrisiko einstufen, was verbindliche Anforderungen an Transparenz, menschliche Aufsicht und Sicherheitstests ausloest — Anforderungen, die die aktuelle Architektur nicht vollstaendig erfuellt. Unter NIST AI RMF gruppieren sich die Befunde in den Funktionen GOVERN und MAP, was darauf hinweist, dass die Ursachen architektonische Governance-Entscheidungen sind und nicht Implementierungsfehler.

Was die Maintainer von OpenClaw Richtig Gemacht Haben

Ein Sicherheitsaudit, das nur Fehler hervorhebt, gibt ein unvollstaendiges Bild. Die Maintainer von OpenClaw haben mehrere starke Sicherheitsentscheidungen getroffen, die andere Agenten-Frameworks emulieren sollten. Das Projekt hat ein umfassendes Berechtigungsmodell, das — obwohl durch die oben beschriebene Tool-Chaining-Schwachstelle umgehbar — eine klare Architektur zur Einschraenkung der Agentenfaehigkeiten bietet. Die Grundlage ist solide, auch wenn die Implementierung Luecken aufweist. Die Code-Execution-Sandbox existiert und wendet Beschraenkungen im stabilen Betrieb korrekt an — die Race-Condition-Schwachstelle ist ein Timing-Problem, kein Design-Mangel.

Der Sicherheitsreaktionsprozess von OpenClaw ist vorbildlich. Als wir die kritischen Befunde ueber ihr Responsible-Disclosure-Programm meldeten, bestaetigten die Maintainer alle 8 kritischen Befunde innerhalb von 48 Stunden, bestaetigten die Reproduzierbarkeit innerhalb einer Woche und hatten Patches innerhalb von zwei Wochen in der Ueberpruefung. Diese Reaktionszeit stellt OpenClaw vor 90% der Open-Source-Projekte, mit denen wir gearbeitet haben. Das Projekt unterhalt ausserdem eine Sicherheitshinweis-Seite, unterstuetzt signierte Releases und hat ein aktives Bug-Bounty-Programm — Praktiken, die echtes Engagement fuer Sicherheit demonstrieren.

Auswirkungen auf das KI-Agenten-Oekosystem

Wenn das beliebteste und am meisten ueberprufte KI-Agenten-Framework 8 kritische Sicherheitsschwachstellen aufweist, ist der Zustand des breiteren Oekosystems besorgniserregend. OpenClaw profitiert von 191.000 Paar Augen, einem dedizierten Sicherheitsteam, einem Responsible-Disclosure-Programm und jetzt einer AiSec-Analyse. Die meisten in der Produktion eingesetzten KI-Agenten-Frameworks haben keinen dieser Vorteile. Sie werden von kleinen Teams gebaut, ohne Sicherheitsueberpruefung eingesetzt und mit implizitem Vertrauen in das Agentenverhalten betrieben.

Die Befunde dieser Analyse weisen auf systemische Probleme hin, wie die Branche KI-Agenten baut. Prompt-Injection-Abwehrmassnahmen sind immer noch keine Standardpraxis — die meisten Frameworks verarbeiten externe Inhalte im selben Kontext wie Systeminstruktionen. Sandbox-Isolation wird als Implementierungsdetail statt als sicherheitskritische Grenze behandelt. Ruhende Daten werden selten verschluesselt. Berechtigungsmodelle sind beratend statt durchgesetzt. Dies sind keine OpenClaw-spezifischen Fehler; es sind Muster, die sich ueber das gesamte Agenten-Oekosystem wiederholen. Die Branche braucht einen grundlegenden Wandel: KI-Agenten-Sicherheit als erstklassige Ingenieurdisziplin zu behandeln, nicht als Kontrollkaestchen vor dem Start.

AiSec auf Eigenen KI-Systemen Ausfuehren

AiSec ist Open Source und verfuegbar unter github.com/fboiero/AiSec. Es gegen die eigenen KI-Agenten-Systeme auszufuehren dauert Minuten, nicht Tage. Das Framework ist so konzipiert, dass es eigenstaendig ist — es ist nicht noetig, das Zielsystem zu modifizieren oder Agenten auf der Produktionsinfrastruktur zu installieren. AiSec operiert extern und sondiert das Ziel ueber dieselben Schnittstellen, die ein Angreifer nutzen wuerde.

• Repository klonen: git clone https://github.com/fboiero/AiSec.git && cd AiSec
• Abhaengigkeiten installieren: pip install -e . (Python 3.10+ erforderlich)
• Ziel konfigurieren: config/target.yaml mit den Endpunkten, Authentifizierung und Scope-Parametern des eigenen KI-Systems bearbeiten
• Vollstaendigen Scan ausfuehren: aisec scan --target config/target.yaml --frameworks all --output report.json
• Compliance-Berichte generieren: aisec report --input report.json --format pdf --frameworks owasp-llm,nist-ai-rmf,eu-ai-act
• Fuer CI/CD-Integration: aisec scan --target config/target.yaml --fail-on critical,high --output-format junit

Der Scan fuehrt standardmaessig alle 35 Agenten parallel aus und schliesst eine vollstaendige Analyse fuer die meisten KI-Systeme in weniger als 5 Minuten ab. Es koennen auch einzelne Agenten fuer gezielte Tests ausgefuehrt werden — zum Beispiel aisec scan --agents PromptInjectionAgent,SandboxEscapeAgent fuer eine fokussierte Bewertung der kritischsten Angriffsflaechen. Die Ausgabe umfasst detaillierte Remediierungsanleitung fuer jeden Befund, priorisiert nach Schweregrad und abgebildet auf die Compliance-Frameworks, die fuer die eigene Organisation relevant sind.

Bei Xcapit ist KI-Sicherheit keine Nebenaktivitaet — sie ist zentral fuer alles, was wir bauen. AiSec ist aus unseren internen Sicherheitspraktiken entstanden, verfeinert durch Jahre des Aufbaus von KI-Agenten fuer Enterprise-Kunden in den Bereichen Fintech, Energie und oeffentlicher Sektor. Wir haben es als Open Source veroeffentlicht, weil wir glauben, dass das gesamte Oekosystem profitiert, wenn KI-Sicherheitstools fuer alle zugaenglich sind, nicht nur fuer Organisationen, die sich sechsstellige Sicherheitsaudits leisten koennen. Wenn Sie tiefer gehen moechten — individuelle AiSec-Konfigurationen fuer Ihre spezifische Architektur, kontinuierliches Sicherheitsmonitoring fuer Ihre KI-Deployments oder ein vollstaendiges Red-Team-Engagement — kann unser Cybersecurity-Team helfen. Besuchen Sie xcapit.com/services/cybersecurity, um das Gespraech zu beginnen.