Open Source

Clawbot: Gehypter KI-Assistent kommt mit einigen Sicherheitsrisiken daher

Avatar, Avatar
Clawdbot by Peter Steinberger. © Clawd.bot
Clawdbot by Peter Steinberger. © Clawd.bot
Startup Interviewer: Gib uns dein erstes AI Interview Startup Interviewer: Gib uns dein erstes AI Interview

Es ist derzeit der letzte Schrei im schnelllebigen KI-Zirkus: Clawdbot. Dabei handelt es sich um einen KI-Assistenten, der vom österreichischen Gründer und Entwickler Peter Steinberger erstellt, wurde, der lokal installiert auf eigenen Geräten als persönlicher virtueller Butler dienen soll. Anstatt ihn in einer eigenen App nutzen zu müssen, kann man sich mit ihm via Telegram, WhatsApp, Signal oder iMessages austauschen, und man kann wahlweise eine bevorzugtes LLM anbinden, etwa Claude von Anthropic, ein GPT-Modell von OpenAI oder – wenn man technisch sehr versiert ist – ein Open-Source-Modell.

Clawdbot ist via GitHub und X in den letzten Tagen viral gegangen – zumindest bei all jenen Tech-Affinen, die sich eine solche Software auch selbst einrichten können. Doch so schön die Vorstellung eines ganz persönlichen KI-Assistenten, der lokal auf der eigenen Hardware anstatt den Cloud-Zentren von Big Tech läuft, auch ist – es gibt doch einige Abstriche hinzunehmen. Vor allem dann, wenn man technisch nicht komplett durchblickt, wie man eine solche Software auch richtig aufsetzt.

Denn Cybersecurity-Experten haben gravierende Sicherheitslücken in dem KI-gestützten persönlichen Assistenten Clawdbot identifiziert, die sensible Nutzerdaten und Zugangsinformationen gefährden. Die Blockchain-Sicherheitsfirma SlowMist hat Anfang der Woche bekannt gegeben, dass eine Schwachstelle im Gateway des Systems mehrere hundert API-Schlüssel und private Chat-Verläufe dem öffentlichen Zugriff aussetzt.

Zahlreiche nicht authentifizierte Instanzen seien über das Internet erreichbar, wobei mehrere Code-Fehler zu Credential-Diebstahl und sogar zur Fernausführung von Code führen könnten. Der Sicherheitsforscher Jamieson O’Reilly hat die Problematik bereits am Wochenende detailliert dokumentiert und festgestellt, dass hunderte Nutzer ihre Clawdbot-Kontrollserver ungeschützt im Netz betreiben.

Die Sicherheitslücke entsteht offenbar durch eine Authentifizierungs-Umgehung, wenn das Gateway hinter einem nicht korrekt konfigurierten Reverse-Proxy betrieben wird. Das System verbindet große Sprachmodelle mit Messaging-Plattformen und führt Befehle im Auftrag der Nutzer über eine Web-Admin-Oberfläche namens Clawdbot Control aus.

O’Reilly konnte mithilfe von Internet-Scanning-Tools wie Shodan exponierte Server identifizieren, indem er nach charakteristischen HTML-Fingerabdrücken suchte. Eine einfache Suche nach dem Begriff Clawdbot Control lieferte innerhalb von Sekunden hunderte Treffer. Die betroffenen Instanzen gewähren Zugriff auf vollständige Konfigurationsdaten einschließlich API-Schlüsseln, Bot-Tokens, OAuth-Secrets und Signaturschlüsseln sowie auf komplette Konversationsverläufe über alle integrierten Chat-Plattformen hinweg.

Vollständig offene Systeme mit Root-Zugriff entdeckt

Bei der Untersuchung stieß O’Reilly auf mehrere vollständig ungeschützte Instanzen ohne jegliche Authentifizierung. In zwei Fällen gewährte der WebSocket-Handshake sofortigen Zugang zu Konfigurationsdaten, die Anthropic-API-Schlüssel, Telegram-Bot-Tokens, Slack-OAuth-Credentials und monatelange Gesprächsverläufe enthielten. Besonders alarmierend war ein Fall, bei dem ein Nutzer sein Signal-Messenger-Konto auf einem öffentlich zugänglichen Clawdbot-Server eingerichtet hatte, wobei die Pairing-Credentials in weltweit lesbaren temporären Dateien lagen.

Ein weiteres exponiertes System einer KI-Software-Agentur ermöglichte unauthentifizierten Nutzern die Ausführung beliebiger Befehle auf dem Host-System, das mit Root-Rechten ohne Privilegientrennung betrieben wurde. Der CEO von Archestra AI, Matvey Kukuy, demonstrierte die Schwere der Lücke, indem er mittels Prompt-Injection innerhalb von fünf Minuten einen privaten Schlüssel von einem kompromittierten System extrahierte.

Die technische Ursache liegt im Design der Authentifizierungsmechanismen von Clawdbot. Das System verfügt zwar über kryptografische Geräteidentität mit Challenge-Response-Protokoll, genehmigt jedoch Localhost-Verbindungen automatisch ohne Authentifizierung. Diese Standardeinstellung erweist sich als problematisch, da die meisten realen Deployments hinter nginx oder Caddy als Reverse-Proxy auf demselben Server laufen. Alle Verbindungen erscheinen dann als von 127.0.0.1 kommend und werden als lokal behandelt, sodass auch externe Zugriffe automatisch genehmigt werden. Eine Konfigurationsoption für vertrauenswürdige Proxies existiert zwar, bleibt standardmäßig jedoch leer, wodurch das Gateway X-Forwarded-For-Header ignoriert und ausschließlich die Socket-Adresse verwendet.

Grundsätzliche Sicherheitsabwägungen bei autonomen KI-Agenten

Die Schwachstelle offenbart grundlegende Spannungen in der Architektur autonomer KI-Systeme. Clawdbot unterscheidet sich von anderen KI-Assistenten durch vollständigen Systemzugriff auf Nutzermaschinen, einschließlich der Fähigkeit, Dateien zu lesen und zu schreiben, Befehle auszuführen, Skripte zu starten und Browser zu steuern.

Die FAQ des Projekts räumt ein, dass es kein perfekt sicheres Setup gebe, wenn man einen KI-Agenten mit Shell-Zugriff betreibe. Das Bedrohungsmodell umfasst Versuche böswilliger Akteure, die KI zu schädlichen Aktionen zu verleiten, sich durch Social Engineering Zugang zu Daten zu verschaffen und Infrastrukturdetails auszuspähen. O’Reilly betont, dass die funktionalen Anforderungen solcher Agenten zwangsläufig etablierte Sicherheitsmodelle verletzen: Sie müssen Nachrichten lesen, Credentials speichern, Befehle ausführen und persistente Zustände aufrechterhalten, um nützlich zu sein.

SlowMist empfiehlt dringend die Anwendung strikter IP-Whitelisting-Maßnahmen auf exponierten Ports. Sicherheitsexperten fordern bessere Standardkonfigurationen, die Nutzer schützen, welche Härtungsanleitungen nicht lesen. Software, die üblicherweise hinter Reverse-Proxies betrieben wird, sollte diese Konfiguration von vornherein annehmen. Credential-Speicher von Agenten müssten mit derselben Sensibilität wie professionelle Secrets-Management-Systeme behandelt werden, da sie mehrere hochwertige Zugangsdaten an einem netzwerkzugänglichen Ort konzentrieren.

O’Reilly hat einen Pull Request mit vorgeschlagenen Härtungsmaßnahmen eingereicht und mahnt Betreiber von Agent-Infrastruktur, ihre Konfigurationen umgehend zu überprüfen. Die Problematik signalisiert eine breitere Herausforderung für die Branche: Während die Ökonomie autonomer Systeme deren Verbreitung unvermeidbar macht, muss sich die Sicherheitshaltung schnell genug anpassen, um deren sichere Nutzung zu ermöglichen.

Rank My Startup: Erobere die Liga der Top Founder!
Werbung
Werbung

Aus Datenschutz-Gründen ist dieser Inhalt ausgeblendet. Die Einbettung von externen Inhalten kann in den Datenschutz-Einstellungen aktiviert werden:

Specials unserer Partner

Die besten Artikel in unserem Netzwerk

Deep Dives

RankMyStartup.com

Steig' in die Liga der Top Founder auf!
© Wiener Börse

IPO Spotlight

powered by Wiener Börse
#glaubandich CHALLENGE Hochformat.

#glaubandich CHALLENGE 2026

Österreichs größter Startup-Wettbewerb - Top-Investoren mit an Bord

AI Talk

Der führende KI Podcast mit Clemens Wasner & Jakob Steinschaden

Future{hacks}

Zwischen Hype und Realität

Trending Topics Tech Talk

Der Podcast mit smarten Köpfen für smarte Köpfe

Weiterlesen