![\"Copilot\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2025\/04\/image-4.png\" "\\"Edge\\"")
Seit einer guten Woche mischt ein unter dem Namen Clawdbot gestartetes KI-Projekt die Gemeinde der KI-Enthusiasten auf. Viele wollen ihren eigenen KI-Bot aufsetzen und damit experimentieren. Inzwischen musste das Projekt zwei Mal umbenannt werden und hat sich zudem zum Sicherheitsalptraum der KI entwickelt.<\/p>\n
<\/p>\n
AI-Bots sind eine interessante Technologie, die man durchaus evaluieren k\u00f6nnte. Bisher dominierten AI-Dienste wie ChatGPT, Gemini etc. den Bereich der LLMs – und Bots setzen auf diesen LLMs auf. Das \u00e4ndert sich gerade, denn Peter Steinberger hat mit seinem Team einen OpenSource-Bot, den er Clawdbot nannte, gebaut. Der lokal l\u00e4uft, bietet Schnittstellen zu diversen Diensten und Modellen und sorgt seit gut zwei Wochen f\u00fcr etwas Furore in der Community der KI-Enthusiasten.<\/p>\n
Ich hatte die Tage im Blog-Beitrag\u00a0Clawdbot: Ein OpenSource KI-Assistent \u2013 cool und ein Sicherheitsdesaster<\/a> \u00fcber das Projekt berichtet.\u00a0Der Bot l\u00e4sst sich in Messaging-Apps (Telegram, WhatsApp, Slack) integrieren und hat ein persistentes Ged\u00e4chtnis (der Bot erinnert sich daran, was man ihm\u00a0 bereits gesagt hat).<\/p>\n Das Ganze l\u00e4uft rund um die Uhr auf einem Server f\u00fcr 5 $\/Monat, und der Bot sei proaktiv. Er\u00a0soll im im Internet surfen, E-Mails abrufen, Code ausf\u00fchren und Aufgaben automatisieren k\u00f6nnen. Anschlie\u00dfend sendet der Bot morgendliche Briefings, Aufgaben-Erinnerungen und Benachrichtigungen und habe zudem vollen Zugriff auf den Computer\u00a0 des Nutzers, hei\u00dft es.<\/p>\n Das Ganze Projekt steht aber ein wenig unter einem ung\u00fcnstigen Stern. Als erstes st\u00f6rte sich KI-Anbieter Anthropic an Namens\u00e4hnlichkeiten. Um juristischen zuvorzukommen, hat Peter Steinberger das Projekt dann kurzzeitig vor einigen Tagen in Moltbot umbenannt.<\/p>\n War aber nicht \"das Ende der Fahnenstange\" – denn gestern habe ich gelernt, dass ein neuer Name gilt. Besucht man diese Webseite<\/a>, findet sich nun die Dokumentation zu \"OpenClaw\" und es hei\u00dft:<\/p>\n Any OS + WhatsApp\/Telegram\/Discord\/iMessage gateway for AI agents (Pi).<\/p>\n OpenClaw bridges WhatsApp (via WhatsApp Web \/ Baileys), Telegram (Bot API \/ grammY), Discord (Bot API \/ channels.discord.js), and iMessage (imsg CLI) to coding agents like\u00a0Pi<\/a>. Plugins add Mattermost (Bot API + WebSocket) and more. OpenClaw also powers the OpenClaw assistant.<\/p><\/blockquote>\n Man hat dem Projekt also einen neuen Namen gegeben und auch die GitHub-Seite<\/a> f\u00fcr das Projekt umbenannt.<\/p>\n Es ist klar, dass sich eine Menge Leute mit diesem Ansatz besch\u00e4ftigen, zumal der Bot auf Mac mini l\u00e4uft. Daher haben Zehntausende Leute das Projekt f\u00fcr Testzwecke aufgesetzt, ohne sich mit den Randbedingungen zu befassen und einen Blick in die vollst\u00e4ndige Dokumentation zu werfen. Weil das Projekt auf Servern im Internet l\u00e4uft, m\u00fcssten diese speziell abgesichert werden.<\/p>\n Das ist aber erkennbar nicht passiert. In meinem Beitrag Clawdbot: Ein OpenSource KI-Assistent \u2013 cool und ein Sicherheitsdesaster<\/a> hatte ich es bereits im Nachtrag aufgegriffen.<\/p>\n Obiger Tweet zeigt das Drama auf: 24-Stunden nachdem die neue Software ver\u00f6ffentlicht wurde, fanden sich hunderte Clawd-Server im Internet, die keinerlei Authentifizierung f\u00fcr Zugriffe aufweisen und dadurch angreifbar sind. Dritte k\u00f6nnen Authentifizierungsdaten f\u00fcr Signal & Co. abgreifen. Obiger Tweet enth\u00e4lt einen Screenshot des OpenClaw-Bot eines Nutzers. Der hat dem Bot uneingeschr\u00e4nkten Zugriff auf sein Konto der Signal-App gew\u00e4hrt. Dessen Zugangsdaten stehen nun \u00f6ffentlich im Internet.<\/p>\n In obigem Tweet hei\u00dft es, dass ein Patch, der die Schwachstelle schlie\u00dft, inzwischen in den Code integriert wurde. Wer OpenClawd testet, sollte also dringend die Installation aktualisieren.<\/p>\n Sicherheitsexperte Jamieson O'Reilly hat zum 25. Januar 2026 den Post Hacking Clawdbot and Eating Lobster Souls<\/a> auf LinkedIn ver\u00f6ffentlicht. Die Botschaft: \"Der Bot ist brillant, er verwaltet Ihren Kalender, bearbeitet Ihre Nachrichten, filtert Ihre Anrufe.\" Aber der Bot kennt auch Passw\u00f6rter [und Zugangsdaten f\u00fcr Konten], weil er sie braucht. Der Bot liest privaten Nachrichten, weil das seine Aufgabe ist, und er hat Schl\u00fcssel f\u00fcr alles, was er erledigen soll. Der Bot ist \"der pers\u00f6nliche Butler\" f\u00fcr seinen Besitzer, der viele Aufgaben erledigt. Echt cool, oder?<\/p>\n Der Sicherheitsexperte skizziert dann ein Szenario, was die Vorg\u00e4nge hinter den Kulissen f\u00fcr nicht so helle und wenig Technik-affine Menschen beleuchtet. Dazu schrieb er: \"Stellen Sie sich nun vor, Sie kommen nach Hause und finden die Haust\u00fcr weit offen, Ihren Butler, der fr\u00f6hlich Tee an jeden serviert, der von der Stra\u00dfe hereinkommt, und einen Fremden, der in Ihrem Arbeitszimmer sitzt und Ihr Tagebuch liest.\"<\/p>\n Genau das hat der genannte Sicherheitsexperte und der Rest der Sicherheitsforscher die letzten Tage hautnah erlebt. Hunderte OpenClaw-Kontroll-Server stehen offen im Internet und jeder, der will, kann diese kapern und f\u00fcr eigene Zwecke nutzen, um die Bot-Besitzer auszuspionieren oder denen zu schaden.<\/p>\n Jamieson O'Reilly hat in seinem LinkedIn-Post die Sache ausf\u00fchrlich beleuchtet und das anonymisierte Beispiel eines Nutzers herausgepickt, der laut Profil als \"AI Systems Engineer\" bei irgend einem Unternehmen t\u00e4tig ist.<\/p>\n Erg\u00e4nzung:<\/strong> Am fr\u00fchen Morgen des 1. Februars 2026 die Timeline auf X gescannt. Jamieson O'Reilly\u00a0schreibt<\/a>:<\/p>\n I've been trying to reach @moltbook for the last few hours. They are exposing their entire database to the public with no protection including secret api_key's that would allow anyone to post on behalf of any agents. Including yours Karpathy has 1.9 million followers on @X and is one of the most influential voices in AI.<\/p>\n Imagine fake AI safety hot takes, crypto scam promotions, or inflammatory political statements appearing to come from him.<\/p>\n And it's not just Karpathy. Every agent on the platform from what I can see is currently exposed.<\/p>\n Please someone help get the founders attention as this is currently exposed.<\/p><\/blockquote>\n Gestern hat sich Sicherheitsexperte Steven Lim ebenfalls kritisch auf X ge\u00e4u\u00dfert<\/a>. Es ist ein Desaster, was da ab geht – zeigt aber, wie naiv die AI-Blase agiert. Ein laut diesem X-Post<\/a> durchgef\u00fchrter Test von OpenClaw auf ZeroLeaks sieht auch nicht gut aus (ZeroLeaks PDF-Analyse<\/a>): 84 % Extraktionsrate. 91 % der Injektionsangriffe waren erfolgreich. Das bedeutet, wenn jemand Clawdbot verwendet, kann jeder, der mit dem Agenten interagiert, auf die gesamten System Prompts, interne Tool-Konfigurationen, Speicherdateien usw. zugreifen und diese manipulieren. Alles, was die Leute in http:\/\/SOUL.md, http:\/\/AGENTS.md<\/em>, als pers\u00f6nliche F\u00e4higkeiten des Bots (samt Secrets) hinterlegt haben, ist zug\u00e4nglich und dem Risiko einer Prompt-Injektion ausgesetzt.<\/p>\n Wenn diese Leute \"aus der Branche\" schon solche essentiellen Fehler, wie der oben erw\u00e4hnte AI Engineer, machen, wie mag es \"in der Branche zugehen\"? Meine alte Erfahrung lautet: \"Der Fisch stinkt vom Kopf\".<\/p>\n Obiger Tweet zeigt das sehr sch\u00f6n und basiert auf dem Artikel Trump's acting cyber chief uploaded sensitive files into a public version of ChatGPT<\/a> von Politico. Dort wird berichtet, dass der Interimsdirektor der Cybersecurity and Infrastructure Security Agency (CISA) sensitives Material in die \u00f6ffentliche Version von ChatGPT eingespeist habe. Dort wurden interne Cybersicherheitswarnungen ausgel\u00f6st – jemand aus der IT hatte also mitgedacht und Sicherheitsbarrieren eingebaut.<\/p>\n K\u00fcrzlich las ich, dass die KI-Revolution von Beratern und Managern ausgerufen werde, die keine Ahnung davon haben, aber ihren Angestellten eine nicht funktionierende Technik aufdr\u00fccken wollen. Und als \"Belohnung\" werden die Angestellten gefeuert, bis man feststellt, dass man die Leute doch noch braucht.<\/p>\n Zur\u00fcck zum Kernthema: Der obige Fall zeigt einmal mehr, auf auf welch Messers Schneide die gesamte AI-Branche momentan reitet. Wir werden von massiven Cybervorf\u00e4llen in diesem Bereich, ausgel\u00f6st durch KI-L\u00f6sungen h\u00f6ren.<\/p>\n Die Kollegen von Golem haben die Entwicklung rund um ClawdBot aka OpenClaw in diesem Artikel<\/a> zusammen gefasst. Betr\u00fcger nutzen den Hype um das Projekt sowie die Verwirrung um die Namens\u00e4nderung aus, um Typscatting-Domains aufzusetzen und gef\u00e4lschte Repositories im Web anzubieten. Golem erw\u00e4hnt diesen Token-Bericht<\/a>, demzufolge dass 22 Prozent der Kunden dieses Sicherheitsanbieters Mitarbeiter hatten, die das Tool innerhalb einer Woche nach Ver\u00f6ffentlichung nutzten.<\/p>\n Und hier<\/a> wird ein Wert von 53 % genannt: Das ist die Zahl der Mitarbeiter von Unternehmenskunden, die OpenClaw nutzen und dem Bot privilegierten Zugriff auf Ressourcen ohne formale Genehmigung durch das Unternehmen gew\u00e4hrten. Ich hatte mal den Begriff der \"Schatten-KI\" hier im Blog gebraucht – worauf Gegenwind der Art \"die Leute nutzen das, was Vorteile bringt, die interessieren sich nicht f\u00fcr die IT-Abteilung\" kam.<\/p>\n Gestern las ich einen Artikel, der einen beunruhigenden Trend thematisierte. Unternehmen bzw. deren Mitarbeiter geben den AI-Bots Befugnisse, die man normalen Angestellten nie erteilt h\u00e4tte. Was kann da schon schief gehen? Warten wir auf den shake-out, der in den kommenden Monaten \u00fcber uns hereinbrechen d\u00fcrfte. Ich m\u00fcsste mich schon sehr t\u00e4uschen, wenn da nicht gr\u00f6\u00dfere Katastrophen um die Ecke lauern.<\/p>\n Tja, was kann schon schief gehen, wenn wir doch KI haben und diese nutzen? Mir ist der Golem-Beitrag\u00a0Ransomware-Panne m\u00fcndet in totalem Datenverlust<\/a> vom 30. Januar 2026 im Hinterkopf. Die Entwickler der Ransomware Sicarii haben einen Fehler gemacht und verwerfen nach Verschl\u00fcsselung von Dateien den Schl\u00fcssel. Opfer k\u00f6nnen die Daten auch nach L\u00f6segeldzahlung nicht mehr entschl\u00fcsseln, weil es keinen Schl\u00fcssel gibt. Es wird vermutet, dass Vibe Coding bei der Entwicklung der Ransomware im Spiel war, weshalb die Fehler passierten.<\/p>\n \u00c4hnliche Artikel: Seit einer guten Woche mischt ein unter dem Namen Clawdbot gestartetes KI-Projekt die Gemeinde der KI-Enthusiasten auf. Viele wollen ihren eigenen KI-Bot aufsetzen und damit experimentieren. Inzwischen musste das Projekt zwei Mal umbenannt werden und hat sich zudem zum Sicherheitsalptraum … Weiterlesen Clawdbot wird Moltbot, wird OpenClaw<\/h2>\n
Ein Sicherheitsalptraum wird wahr<\/h2>\n
Alles steht offen im Internet<\/h3>\n
![\"Clawd-Sicherheitsdesaster](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/01\/Clawd-Sicherheit.jpg\")
<\/a><\/p>\nWenn wild drehende KI-Bots losgelassen werden<\/h3>\n
\n@karpathy<\/p>\nDer Fisch stinkt vom Kopf her<\/h3>\n
![\"Publico-CISA-ChatGPTGate\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/01\/Publico-CISA-ChatGPTGate.jpg\")
<\/a><\/p>\nDer Ritt auf des Messers Schneide<\/h3>\n
Vibe-Coding verhunzt Ransomware<\/h3>\n
\n<\/strong>Die KI-Blase wird platzen, aber wann?<\/a>
\nGoldman Sachs warnt vor AI-Blase, die Rechenzenten-Boom platzen lie\u00dfe<\/a>
\nSehen wir gerade erste Zeichen, dass die AI-Blase platzt?<\/a>
\nDer KI-Ressourcenverbrauch wird Stromnetze und L\u00e4nder \u00fcberfordern<\/a>
\nKI-Sicherheit: Die spezielle Seite der neuen Technologie<\/a>
\nTechnische Hypotheken: Muss die KI-Revolution ausfallen? \u2013 Teil 2<\/a>
\nGesellschaftliche Risiken durch KI f\u00fcrs Lernen \u2013 werden wir immer d\u00fcmmer?<\/a>
\nJob-Verluste durch KI \u2013 eine Themen\u00fcbersicht<\/a>
\n<\/strong>Private-Equity-Gesellschaft Apollo reduziert Unternehmensanteile wegen KI-Unsicherheiten<\/a>
\nKI-Rechenzentren: Hardware-Wechsel verhindert Wirtschaftlichkeit<\/a>
\nGartner warnt: Blockt aus Sicherheitsgr\u00fcnden alle KI-Browser auf absehbare Zeit<\/a>
\nChatGPT: Atlas-Browser, der erste Schritt zum KI-Betriebssystem<\/a>
\nPerplexity Comet Browser Prompt Injection als gro\u00dfes Sicherheitsrisiko<\/a>
\nSicherheit: AI-Browser und Copilot-Schwachstellen<\/a>
\nNo-Code Agentic AI kann f\u00fcr Finanzbetrug und Workflow Hijacking missbraucht werden<\/a>
\nKI-Irrsinn Teil 1: Wenn ChaptGPT, Copilot & Co. dich zu Fake-Orten locken<\/a>
\nKI-Irrsinn Teil 2: Amazon schickt Unterlassungserkl\u00e4rung an Perplexity AI f\u00fcr Eink\u00e4ufe \u00fcber Comet<\/a>
\nKI-Irrsinn Teil 3: KI-generiere \"Nichtigkeitsklage\" vom Gericht abgewiesen<\/a>
\nKI-Irrsinn Teil 4: Wenn die Anwender mal selber machen<\/a>
\nKI-Irrsinn Teil 5: Deloitte, die KI und der versemmelte Report in Australien<\/a>
\nKI-Irrsinn Teil 6: Autoh\u00e4ndler gibt Kundendaten zum KI-Training an obskure Firma<\/a>
\nSteuererkl\u00e4rung per KI? Expertin warnt vor Risiken<\/a>
\nKI-Experiment gescheitert: Automat \"verschenkt\" Inhalte<\/a>
\nEdge for Business und AI\/Copilot im Browser: B\u00f6se H\u00f6rst\u00f6rung bei Microsoft?<\/a>
\nVivaldi positioniert sich gegen KI-Agenten<\/a>
\nMIT-Studie: \"ChatGPT\"- bzw. LLM-Nutzung und Gehirn-Aktivit\u00e4ten<\/a>
\nJob-Verluste durch KI \u2013 eine Themen\u00fcbersicht<\/a>
\nGesellschaftliche Risiken durch KI f\u00fcrs Lernen \u2013 werden wir immer d\u00fcmmer?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"